黑客利用天文望远镜拍摄的图像传播恶意软件

据Bleeping Computer网站8月30日消息，黑客威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的利用新恶意软件活动，该活动依赖网络钓鱼电子邮件 、天文图像恶意文档和来自詹姆斯韦伯望远镜的望远空间图像来传播恶意软件。

该恶意软件由 Golang 编写
，镜拍Golang 因其跨平台的传播特性（Windows
、Linux  、恶意Mac）以及对逆向工程和分析的软件强抵抗力而越发得到网络犯罪分子的高防服务器青睐
。在 Securonix 的黑客研究人员最近发现的活动中，攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的利用有效负载
。

感染链

感染始于一封带有“Geos-Rates.docx”恶意文档的天文图像网络钓鱼电子邮件
，该文档会下载模板文件，望远其中包含一个经过混淆的镜拍 VBS 宏，亿华云如果在 Office 套件中启用了宏 
，传播该宏会自动执行。恶意之后，该代码从一个远程资源（“xmlschemeformat[.]com”）下载 JPG 图片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”）并启动 。

以图像查看器（左）和文本编辑器（右）打开图片文件

在图像查看器中
，这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片，若使用文本编辑器打开，服务器租用则会显示伪装成内含证书的额外内容 ，其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆，而二进制文件使用XOR来隐藏Golang程序集
，以防止分析人员发现
。除此之外，这些程序集还使用了案例修改来避免安全工具基于签名的免费模板检测  。

根据动态恶意软件分析推断出的情况，该可执行程序通过复制到%localappdata%%microsoft\vault\并添加一个新的注册表键来实现持久性，之后便与命令和控制（C2）服务器建立了DNS连接 ，并发送加密查询。C2可通过设置连接请求之间的时间间隔 、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。

在测试过程中 ，源码下载Securonix观察到攻击者在其测试系统上运行任意的枚举命令，这是一个标准侦察步骤的第一步
。研究人员指出 ，用于该活动的域名注册时间较新，最早的注册时间是 2022 年 5 月 29 日。香港云服务器

Securonix 提供了一组危害指标 (IoC)，其中包括基于网络和主机的指标。