Golang-Angriffskampagne GO#WEBBFUSCATOR setzt Bilder des James Webb Weltraumteleskops als Köder zur Systeminfektion ein

[post-views]
September 05, 2022 · 4 min zu lesen
Golang-Angriffskampagne GO#WEBBFUSCATOR setzt Bilder des James Webb Weltraumteleskops als Köder zur Systeminfektion ein

Die moderne Bedrohungslandschaft im Bereich der Cybersicherheit verdeutlicht einen wachsenden Trend in der Nutzung von Golang-basierter Malware, die aktiv von mehreren Hacking-Kollektiven angenommen wird. Cybersecurity-Forscher haben kürzlich eine neuartige Golang-basierte bösartige Kampagne entdeckt, die als GO#WEBBFUSCATOR verfolgt wird, bei der Hacker ein berüchtigtes Weltraumteleskop-Bild aus dem James-Webb-Weltraumteleskop der NASA als Köder verwenden, um Malware auf kompromittierten Systemen bereitzustellen. 

GO#WEBBFUSCATOR Aktivitätserkennung: Neue Golang-basierte Angriffskampagne

Cybersecurity-Praktiker bemühen sich ständig, ihr Verteidigungswerkzeug zu erweitern, um mit dem zunehmenden Volumen der Angriffe Schritt zu halten. Die Detection as Code-Plattform von SOC Prime hat kürzlich eine kuratierte Sigma-Regel veröffentlicht, die von dem produktiven Threat Bounty Program-Entwickler Osman Demirerstellt wurde, um Organisationen dabei zu helfen, rechtzeitig die Golang-basierten Malware-Stämme zu identifizieren, die in der laufenden GO#WEBBFUSCATOR-Angriffskampagne verbreitet werden. Folgen Sie dem untenstehenden Link, um sofort Zugang zu der dedizierten, kontextangereicherten Sigma-Regel zu erhalten, die in SOC Prime’s Cyber Threats Search Engine verfügbar ist:

Sigma-Regel zur Erkennung der bösartigen Aktivität im Zusammenhang mit der GO#WEBBFUSCATOR-Angriffskampagne

Diese Erkennung ist mit 23 SIEM-, EDR- und XDR-Lösungen kompatibel, die von der SOC Prime-Plattform unterstützt werden und im Einklang mit dem MITRE ATT&CK®-Framework stehen, wobei sie sich auf die Taktik der Ausführung und den Kommando- und Skriptinterpreter (T1059) als primäre Technik konzentrieren.

Durch den Beitritt zur Initiative von SOC Prime für Crowdsourcing, dem Threat Bounty Program, haben Mitwirkende an Erkennungsinhalten die Möglichkeit, eigene Sigma- und YARA-Regeln zu erstellen, sie mit der globalen Cyber-Verteidigungsgemeinschaft zu teilen und wiederkehrende Belohnungen für ihren Beitrag zu erhalten.

Um Organisationen dabei zu helfen, den Angreifern einen Schritt voraus zu sein und sich proaktiv gegen Golang-basierte Malware zu verteidigen, die aktiv von Cyberkriminellen entwickelt und verteilt wird, bietet SOC Prime eine umfassende Liste spezieller Erkennungsalgorithmen. Klicken Sie auf die Schaltfläche Erkennungen erkunden , um die Liste der relevanten Sigma-Regeln zu erreichen, die Golang-basierte Bedrohungen identifizieren, begleitet von aufschlussreichen kontextuellen Informationen, wie MITRE ATT&CK und CTI-Links, Empfehlungen zur Minderung und weiteren umsetzbaren Erkenntnissen.

Erkennungen erkunden

Analyse der GO#WEBBFUSCATOR-Angriffskampagne

Malware-Proben, die in der Go-Programmiersprache geschrieben sind, haben über die vergangenen Jahre einen Anstieg um 2.000 % erfahren und werden aktiv in gegnerischen Kampagnen von berüchtigten APT-Gruppen wie Mustang Panda and APT28eingesetzt. Das Securonix Threat Research Team hat kürzlich eine neue Golang-Angriffskampagne namens GO#WEBBFUSCATOR entdeckt. In dieser bösartigen Kampagne nutzen Hacker legitime Bilder des James-Webb-Weltraumteleskops, um Malware-Proben zu verbergen, die in der Golang-Programmiersprache geschrieben sind. 

Gegner nutzen den Phishing-E-Mail-Angriffsvektor, um Malware zu verbreiten. Die Infektionskette wird durch den Microsoft Office-Anhang ausgelöst, der, wenn er geöffnet wird, eine bösartige Vorlagendatei herunterlädt. Letztere enthält ein VB-Skript, das bösartigen Code ausführt, sobald der kompromittierte Benutzer das Makro aktiviert. Der entschlüsselte Code lädt die JPG-Köderdatei herunter, die ein erstes Deepfield-Aufnahmebild des James-Webb-Teleskops zeigt, das sich als eine bösartige base64-codierte Payload herausstellt. Die Malware verwendet ausgeklügelte Techniken zur Anti-Analyse und nutzt das auf GitHub verfügbare Golang-basierte Gobfuscation-Tool, um die Erkennung zu umgehen. 

Angreifer kommunizieren über verschlüsselte DNS-Anfragen und -Antworten mit dem C&C-Server, wodurch die Malware in der Lage ist, Befehle auszuführen, die der Server durch die Verwendung der Windows-Kommandozeile cmd.exe -Werkzeug sendet.

Die sich ständig verändernde Bedrohungslandschaft erfordert eine ultra-schnelle Reaktionsfähigkeit von Cyber-Verteidigern. Durchsuchen Sie socprime.com , um rechtzeitig auf neue Bedrohungen zu reagieren und Bedrohungsuntersuchungen zu optimieren oder die erweiterten Fähigkeiten der Cyber-Verteidigung mit maßgeschneiderten Detection-as-Code-Inhalten auf Abrufoptimal zu nutzen. Sowohl aufstrebende als auch erfahrene Threat Hunters und Detection Engineers können durch Zusammenarbeit mit dem das kollektive Fachwissen der Branche bereichern, indem sie Erkennungsinhalte authoren und monetarisieren..

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards SOC Prime kündigt Empfehlungsprogramm für individuelle Cyber-Verteidiger an 3 min zu lesen SOC Prime Plattform SOC Prime kündigt Empfehlungsprogramm für individuelle Cyber-Verteidiger an by Daryna Olyniychuk
Alle Nachrichten