Campaña de Ataque de Golang Rastrea como GO#WEBBFUSCATOR Aplica Imágenes del Telescopio Espacial James Webb como Cebos para Infectar Sistemas

[post-views]
septiembre 05, 2022 · 4 min de lectura
Campaña de Ataque de Golang Rastrea como GO#WEBBFUSCATOR Aplica Imágenes del Telescopio Espacial James Webb como Cebos para Infectar Sistemas

El panorama moderno de amenazas cibernéticas ilustra una tendencia creciente en el uso de malware basado en Golang, que es activamente adoptado por múltiples colectivos de hackers. Investigadores de ciberseguridad han descubierto recientemente una novedosa campaña maliciosa basada en Golang rastreada como GO#WEBBFUSCATOR, en la cual los hackers utilizan una notoria imagen de campo profundo tomada del telescopio espacial James Webb de la NASA como señuelo para desplegar malware en sistemas comprometidos. 

Detección de actividad de GO#WEBBFUSCATOR: Nueva campaña de ataque basada en Golang

Los practicantes de ciberseguridad se esfuerzan constantemente por enriquecer su kit de herramientas defensivas para mantenerse al ritmo del creciente volumen de ataques. La plataforma Detection as Code de SOC Prime ha lanzado recientemente una regla Sigma curada por el prolífico desarrollador del programa Threat Bounty, Osman Demir, para ayudar a las organizaciones a identificar a tiempo las cepas de malware basado en Golang dispersas en la campaña de ataque GO#WEBBFUSCATOR en curso. Siga el enlace a continuación para obtener acceso instantáneo al contexto dedicado enriquecido regla Sigma disponible en el motor de búsqueda de amenazas cibernéticas de SOC Prime:

Regla Sigma para detectar la actividad maliciosa asociada con la campaña de ataque GO#WEBFUSCATOR

Esta detección es compatible con 23 soluciones SIEM, EDR y XDR compatibles con la plataforma de SOC Prime y está alineada con el marco MITRE ATT&CK® que aborda la táctica de Ejecución y el intérprete de comandos y scripts (T1059) como su técnica principal. 

Al unirse a las filas de la iniciativa de crowdsourcing de SOC Prime, Threat Bounty Program, los contribuyentes de contenido de detección pueden obtener la oportunidad de crear sus propias reglas Sigma y YARA, compartirlas con la comunidad global de defensores cibernéticos y recibir recompensas recurrentes por su contribución.

Para ayudar a las organizaciones a adelantarse a los atacantes y defenderse proactivamente contra el malware basado en Golang, que está siendo activamente desarrollado y distribuido por cibercriminales, SOC Prime ofrece una lista comprensiva de algoritmos de detección dedicados. Haga clic en el Explorar Detecciones botón a continuación para alcanzar la lista de reglas Sigma relevantes para identificar amenazas basadas en Golang acompañadas de información contextual perspicaz, como enlaces MITRE ATT&CK y CTI, recomendaciones de mitigación y más conocimientos prácticos.

Explorar Detecciones

Análisis del Ataque GO#WEBBFUSCATOR

Las muestras de malware escritas en el lenguaje de programación Go han visto un aumento del 2,000% en los últimos años, siendo aprovechadas activamente en campañas adversarias por infames grupos APT, como Mustang Panda and APT28. El equipo de investigación de amenazas Securonix ha descubierto recientemente una nueva campaña de ataque de Golang conocida como GO#WEBBFUSCATOR. En esta campaña maliciosa, los hackers aplican las imágenes legítimas del Telescopio Espacial James Webb para ocultar muestras de malware escritas en el lenguaje de programación Golang. 

Los adversarios explotan el vector de ataque de correos electrónicos de phishing para esparcir malware. La cadena de infección es activada por el adjunto de Microsoft Office, que, si se abre, descarga un archivo de plantilla malicioso. Este último contiene un script VB, que ejecuta código malicioso tan pronto como el usuario comprometido habilita la macro. El código desencriptado descarga el archivo señuelo JPG que ilustra una primera captura de campo profundo del telescopio James Webb, que resulta ser una carga útil maliciosa codificada en Base64. El malware aplica técnicas sofisticadas de anti-análisis y se aprovecha de la herramienta Golang Gobfuscation disponible en GitHub para evadir la detección. 

Los atacantes se comunican con el servidor C&C mediante consultas DNS cifradas y respuestas, permitiendo que el malware ejecute comandos enviados por el servidor mediante el uso de la línea de comandos de Windows cmd.exe herramienta.

El panorama de amenazas en constante cambio requiere ultra-responsividad de los defensores cibernéticos. Busque socprime.com para reaccionar oportunamente a amenazas emergentes y optimizar la investigación de amenazas o aprovechar al máximo las capacidades avanzadas de defensa cibernética con contenido de Detection-as-Code personalizado disponible bajo demanda. Tanto los cazadores de amenazas aspirantes como los ingenieros de detección experimentados pueden enriquecer la experiencia colectiva de la industria mediante la creación y monetización de contenido de detección a través de la colaboración con el SOC Prime Threat Bounty Program.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards SOC Prime Anuncia Programa de Referencias para Defensores Cibernéticos Individuales 4 min de lectura Plataforma SOC Prime SOC Prime Anuncia Programa de Referencias para Defensores Cibernéticos Individuales by Daryna Olyniychuk
Todas las noticias