GO#WEBBFUSCATOR攻撃キャンペーンはゴランを使用してジェームズ・ウェッブ宇宙望遠鏡の画像を餌にしてシステムを感染させる

現代のサイバー脅威の状況は、 Golangベースのマルウェアの使用における成長傾向を示しています。サイバーセキュリティ研究者は最近、新しいGolangベースの悪意あるキャンペーンがGO#WEBBFUSCATORとして追跡されていることを発見しました。このキャンペーンでは、ハッカーがNASAのジェームズ・ウェッブ宇宙望遠鏡から撮影された有名なディープフィールド画像をおとりとして利用し、侵害されたシステムにマルウェアを展開しています。 

GO#WEBBFUSCATORアクティビティ検出：新しいGolangベースの攻撃キャンペーン

サイバーセキュリティの専門家たちは、攻撃量の増加に対応するために自分たちの防御ツールキットを強化し続けています。SOC PrimeのDetection as Codeプラットフォームは、積極的なThreat Bountyプログラム開発者である Osman Demirによって作成されたキュレーションされたSigmaルールを最近リリースし、組織がGO#WEBBFUSCATOR攻撃キャンペーンで拡散されるGolangベースのマルウェアストレインをタイムリーに特定するのを支援します。以下のリンクをクリックすると、コンテキスト強化された Sigmaルール に瞬時にアクセスできます：

GO#WEBFUSCATOR攻撃キャンペーンに関連する悪意ある活動を検出するSigmaルール

この検出は、SOC Primeのプラットフォームがサポートする23種のSIEM、EDR、XDRソリューションと互換性があり、 MITRE ATT&CK® フレームワーク に一致しています。主な技術としての実行技術及びスクリプトとコマンドのインタープリタ（T1059）に関わります。 

SOC Primeのクラウドソースの取り組みに参加することにより、 Threat Bounty Programの貢献者は、自分でSigmaおよびYARAルールを作成する機会を得て、それをグローバルなサイバーディフェンダーコミュニティと共有し、貢献に対して再現的な報酬を受け取ることができます。

サイバー犯罪者によって積極的に開発され、配布されているGolangベースのマルウェアに対して、組織が攻撃者に先んじて防御するのを支援するため、SOC Primeは専用の検出アルゴリズムの包括的なリストを提供します。下の 検出を探る ボタンをクリックして、Golangベースの脅威を特定する関連するSigmaルールのリストにアクセスし、MITRE ATT&CKやCTIリンク、軽減策の推奨などの洞察に満ちたコンテキスト情報と、より多くの実践的な洞察が案内されます。

検出を探る

GO#WEBBFUSCATOR攻撃分析

Goプログラミング言語で書かれたマルウェアサンプルは、 過去数年間で2,000%増加し 、 Mustang Panda and 、、 のような悪名高いAPTグループによって敵対キャンペーンで積極的に利用されています。最近、 Securonix脅威研究チーム

は、GO#WEBBFUSCATORとして知られる新しいGolang攻撃キャンペーンを発見しました。この悪意のあるキャンペーンでは、ハッカーがジェームズ・ウェッブ宇宙望遠鏡の画像を利用して、Golangプログラミング言語で書かれたマルウェアサンプルを隠しています。 

攻撃者はフィッシングメール攻撃ベクトルを利用してマルウェアを拡散します。感染の連鎖は、Microsoft Officeの添付ファイルを開くことで開始され、これにより悪意のあるテンプレートファイルがダウンロードされます。このテンプレートはVBスクリプトを含んでおり、マクロが有効化されると悪意あるコードを実行します。復号化されたコードは、ジェームズ・ウェッブ望遠鏡の最初のディープフィールドキャプチャを示すJPGおとりファイルをダウンロードし、それが結果として悪意あるBase64エンコードのペイロードであることが判明します。マルウェアは高度な解析回避技術を適用し、GitHubで入手可能なGolangベースのGobfuscationツールを利用して検出を回避します。  cmd.exe を通じて検出コンテンツの著作と収益化を通じて業界知識を豊かにすることができます。

ツールを使用して、攻撃者は暗号化されたDNSクエリと応答を介してC&Cサーバーと通信し、サーバーによって送信されたコマンドを実行できます。 socprime.com を検索して、新たに出現する脅威に迅速に対応し、脅威の調査を合理化するか、カスタマイズされたDetection-as-Codeコンテンツを使用してサイバー防御の能力を強化します。 必要に応じて利用可能です。新たに魅力的なThreat HuntersおよびDetection Engineersの双方が、 SOC Prime Threat Bounty Program.