Campagne d’attaque Golang suivie sous le nom de GO#WEBBFUSCATOR qui utilise des images du télescope spatial James Webb comme appâts pour infecter les systèmes

Le paysage moderne des cybermenaces illustre une tendance croissante à l’utilisation de logiciels malveillants basés sur Golang, qui sont activement adoptés par de nombreux collectifs de pirates informatiques. Des chercheurs en cybersécurité ont récemment découvert une nouvelle campagne malveillante basée sur Golang suivie sous le nom de GO#WEBBFUSCATOR, dans laquelle les pirates exploitent une image célèbre de champ profond prise par le télescope spatial James Webb de la NASA comme appât pour déployer des logiciels malveillants sur des systèmes compromis. 

Détection d’activité GO#WEBBFUSCATOR : Nouvelle campagne d’attaque basée sur Golang

Les praticiens de la cybersécurité s’efforcent constamment d’enrichir leur arsenal défensif pour suivre le rythme des volumes d’attaques croissants. La plateforme Detection as Code de SOC Prime a récemment publié une règle Sigma soignée élaborée par le développeur prolifique du Programme de primes de menace, Osman Demir, pour aider les organisations à identifier en temps opportun les souches de logiciels malveillants basés sur Golang diffusées dans la campagne d’attaque en cours GO#WEBBFUSCATOR. Suivez le lien ci-dessous pour accéder instantanément au contexte enrichi dédié règle Sigma disponible sur le moteur de recherche des menaces de SOC Prime :

Règle Sigma pour détecter l’activité malveillante associée à la campagne d’attaque GO#WEBBFUSCATOR

Cette détection est compatible avec 23 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime et est alignée avec le cadre MITRE ATT&CK® abordant la tactique d’exécution et l’interpréteur de commandes et de scripts (T1059) comme technique principale. 

En rejoignant les rangs de l’initiative de crowdsourcing de SOC Prime, Programme de primes de menace, les contributeurs de contenu de détection peuvent avoir l’opportunité de créer leurs propres règles Sigma et YARA, de les partager avec la communauté mondiale de défenseurs du cyberespace et de recevoir des récompenses récurrentes pour leur contribution.

Pour aider les organisations à garder une longueur d’avance sur les attaquants et à se défendre de manière proactive contre les logiciels malveillants basés sur Golang, qui sont activement développés et distribués par les cybercriminels, SOC Prime offre une liste complète d’algorithmes de détection dédiés. Cliquez sur le Explorez les détections bouton ci-dessous pour accéder à la liste des règles Sigma pertinentes pour identifier les menaces basées sur Golang accompagnées d’informations contextuelles perspicaces, comme les liens MITRE ATT&CK et CTI, des recommandations de mitigation, et des informations plus exploitables.

Explorez les détections

Analyse de l’attaque GO#WEBBFUSCATOR

Les échantillons de logiciels malveillants écrits dans le langage de programmation Go ont connu une augmentation de 2 000 % au cours des dernières années, étant activement exploités dans des campagnes adverses par des groupes APT célèbres, tels que Mustang Panda and APT28. L’équipe de recherche sur les menaces de Securonix a récemment découvert une nouvelle campagne d’attaque Golang connue sous le nom de GO#WEBBFUSCATOR. Dans cette campagne malveillante, les pirates appliquent les images légitimes du télescope spatial James Webb pour dissimuler des échantillons de logiciels malveillants écrits dans le langage de programmation Golang. 

Les adversaires exploitent le vecteur d’attaque par e-mail de phishing pour propager des logiciels malveillants. La chaîne d’infection est déclenchée par la pièce jointe Microsoft Office qui, si elle est ouverte, télécharge un fichier modèle malveillant. Ce dernier contient un script VB, qui exécute du code malveillant dès que l’utilisateur compromis active la macro. Le code déobfusqué télécharge le fichier JPG appât illustrant une première capture de champ profond du télescope James Webb, qui s’avère être une charge utile malveillante encodée en Base64. Le logiciel malveillant applique des techniques anti-analyse sophistiquées et utilise l’outil Gobfuscation basé sur Golang disponible sur GitHub pour échapper à la détection. 

Les attaquants communiquent avec le serveur C&C via des requêtes et des réponses DNS chiffrées, permettant au logiciel malveillant d’exécuter des commandes envoyées par le serveur grâce à l’utilisation de la ligne de commande Windows cmd.exe outil.

Le paysage en perpétuelle évolution des menaces nécessite une ultra-réactivité de la part des défenseurs du cyberespace. Recherchez socprime.com pour réagir rapidement aux menaces émergentes et rationaliser l’enquête sur les menaces ou tirer le meilleur parti des capacités améliorées de défense cybernétique avec du contenu Detection-as-Code personnalisé disponible sur demande. Tant les chasseurs de menaces aspirants que les ingénieurs de détection chevronnés peuvent enrichir l’expertise collective de l’industrie en rédigeant et en monétisant du contenu de détection grâce à la collaboration avec le Programme de primes de menace de SOC Prime.