Campagna di attacco Golang tracciata come GO#WEBBFUSCATOR utilizza immagini del telescopio spaziale James Webb come esche per infettare i sistemi

[post-views]
Settembre 05, 2022 · 4 min di lettura
Campagna di attacco Golang tracciata come GO#WEBBFUSCATOR utilizza immagini del telescopio spaziale James Webb come esche per infettare i sistemi

Il panorama delle moderne minacce informatiche illustra una tendenza crescente nell’uso di malware basati su Golang, che sono attivamente adottati da diversi collettivi di hacker. I ricercatori di sicurezza informatica hanno recentemente scoperto una nuova campagna dannosa basata su Golang tracciata come GO#WEBBFUSCATOR, in cui gli hacker sfruttano una nota immagine del campo profondo scattata dal James Webb Space Telescope della NASA come esca per distribuire malware su sistemi compromessi. 

Rilevamento dell’attività di GO#WEBBFUSCATOR: Nuova campagna di attacco basata su Golang

I professionisti della cybersecurity si sforzano costantemente di arricchire il loro kit di strumenti difensivi per tenere il passo con il crescente volume di attacchi. La piattaforma Detection as Code di SOC Prime ha recentemente rilasciato una regola Sigma curata e creata dallo sviluppatore prolifico del Threat Bounty Program, Osman Demir, per aiutare le organizzazioni a identificare tempestivamente le varianti di malware basate su Golang diffuse nella campagna di attacco in corso GO#WEBBFUSCATOR. Segui il link qui sotto per accedere istantaneamente al contesto dedicato e arricchito regola Sigma disponibile dal motore di ricerca delle minacce informatiche di SOC Prime:

Regola Sigma per rilevare l’attività dannosa associata alla campagna di attacco GO#WEBFUSCATOR

Questo rilevamento è compatibile con 23 soluzioni SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime ed è allineato con il framework MITRE ATT&CK® affrontando la tattica di Esecuzione e l’Interprete di comandi e script (T1059) come tecnica principale. 

Unendosi alle fila dell’iniziativa crowdsourced di SOC Prime, Threat Bounty Program, i contributori di contenuti per il rilevamento possono avere l’opportunità di creare le proprie regole Sigma e YARA, condividerle con la comunità globale di difensori cyber e ricevere premi ricorrenti per il loro contributo.

Per aiutare le organizzazioni a rimanere avanti rispetto agli attaccanti e difendersi proattivamente dai malware basati su Golang, che vengono attivamente sviluppati e distribuiti dai cyber criminali, SOC Prime offre un elenco completo di algoritmi di rilevamento dedicati. Clicca il Scopri i rilevamenti pulsante qui sotto per raggiungere l’elenco delle regole Sigma rilevanti per identificare le minacce basate su Golang accompagnate da informazioni contestuali approfondite, come i collegamenti MITRE ATT&CK e CTI, raccomandazioni per la mitigazione e altri approfondimenti azionabili.

Scopri i rilevamenti

Analisi dell’attacco GO#WEBBFUSCATOR

I campioni di malware scritti nel linguaggio di programmazione Go hanno visto un aumento del 2.000% negli ultimi anni, essendo attivamente sfruttati nelle campagne avversarie da famosi gruppi APT, come Mustang Panda and APT28. Il Securonix Threat research team ha recentemente scoperto una nuova campagna di attacco basata su Golang nota come GO#WEBBFUSCATOR. In questa campagna dannosa, gli hacker applicano le immagini legittime del James Webb Space Telescope per nascondere campioni di malware scritti nel linguaggio di programmazione Golang. 

Gli avversari sfruttano il vettore di attacco delle email di phishing per diffondere malware. La catena di infezione viene innescata dall’allegato di Microsoft Office, che, se aperto, scarica un file modello dannoso. Quest’ultimo contiene uno script VB, che esegue codice dannoso non appena l’utente compromesso abilita la macro. Il codice deoffuscato scarica il file esca JPG che illustra una prima cattura di campo profondo del telescopio James Webb, che si rivela essere un payload dannoso codificato in Base64. Il malware applica tecniche sofisticate di anti-analisi e sfrutta lo strumento Golang Gobfuscation disponibile su GitHub per evitare il rilevamento. 

Gli attaccanti comunicano con il server C&C tramite query e risposte DNS crittografate, consentendo al malware di eseguire comandi inviati dal server attraverso l’uso della riga di comando di Windows cmd.exe strumento.

Il panorama delle minacce in continua evoluzione richiede un’ultra reattività dai difensori cyber. Cerca socprime.com per reagire tempestivamente alle minacce emergenti e ottimizzare l’indagine sulle minacce o sfruttare al massimo le capacità avanzate di difesa cyber con contenuti Detection-as-Code personalizzati disponibili su richiesta. Sia i cacciatori di minacce principianti che quelli esperti e gli ingegneri di rilevamento possono arricchire l’esperienza collettiva del settore scrivendo e monetizzando contenuti di rilevamento attraverso la collaborazione con il SOC Prime Threat Bounty Program.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta 3 min di lettura Piattaforma SOC Prime Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta by Steven Edwards SOC Prime annuncia il programma di referral per i singoli difensori informatici 4 min di lettura Piattaforma SOC Prime SOC Prime annuncia il programma di referral per i singoli difensori informatici by Daryna Olyniychuk
Tutte le notizie