Golang 공격 캠페인 GO#WEBBFUSCATOR로 추적, 제임스 웹 우주 망원경 이미지를 시스템 감염 유인책으로 사용

현대 사이버 위협 환경은 사용 추세의 증가를 보여줍니다 Golang 기반의 악성코드, 이는 여러 해킹 집단이 적극적으로 수용하고 있습니다. 사이버 보안 연구원들은 최근 GO#WEBBFUSCATOR로 추적되는 새로운 Golang 기반의 악성 캠페인을 밝혀냈으며, 해커들이 NASA의 제임스 웹 우주 망원경에서 촬영한 유명한 딥 필드 이미지를 악용하여 감염된 시스템에 악성코드를 배포하고 있습니다. 

GO#WEBBFUSCATOR 활동 탐지: 새로운 Golang 기반 공격 캠페인

사이버 보안 실무자들은 증가하는 공격량에 맞춰 방어 도구를 강화하려고 끊임없이 노력하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 다수의 Threat Bounty Program 개발자인 Osman Demir에 의해 제작된 맞춤형 Sigma 규칙을 최근 발표하여, 조직들이 진행 중인 GO#WEBBFUSCATOR 공격 캠페인에서 퍼지는 Golang 기반의 악성코드 변종을 시기적절하게 식별할 수 있도록 돕습니다. 아래 링크를 따라 특정 컨텍스트가 추가된 Sigma 규칙 을 SOC Prime의 사이버 위협 검색 엔진에서 즉시 사용할 수 있습니다:

GO#WEBBFUSCATOR 공격 캠페인과 관련된 악성 활동을 탐지하기 위한 Sigma 규칙

이 탐지는 SOC Prime 플랫폼에서 지원하는 23가지 SIEM, EDR, XDR 솔루션과 호환되며, MITRE ATT&CK® 프레임워크 와 일치하며, 실행 전술 및 명령 및 스크립트 인터프리터(T1059)를 주요 기법으로 다루고 있습니다. 

SOC Prime의 군중 기반 이니셔티브에 합류함으로써 Threat Bounty Program에 참여하는 탐지 콘텐츠 기여자는 자신만의 Sigma 및 YARA 규칙을 작성하고, 이를 글로벌 사이버 방어 커뮤니티와 공유하며, 기여에 따른 지속적인 보상을 받을 수 있습니다.

사이버 범죄자들에 의해 적극적으로 개발 및 배포되고 있는 Golang 기반 악성코드에 대비하고 선제적으로 방어할 수 있도록 SOC Prime은 전용 탐지 알고리즘의 포괄적인 목록을 제공합니다. 아래 탐지 탐색 버튼을 클릭하여 Golang 기반 위협을 식별할 관련 Sigma 규칙 목록에 접근하고, MITRE ATT&CK 및 CTI 링크, 완화 권장 사항 및 보다 실행 가능한 통찰력과 같은 유익한 컨텍스트 정보를 확인하십시오.

탐지 탐색

GO#WEBBFUSCATOR 공격 분석

Go 프로그래밍 언어로 작성된 악성코드 샘플은 지난 몇 년간 2000% 증가 했으며, 유명한 APT 그룹에 의해 적대적 캠페인에서 적극적으로 활용되고 있습니다. 머스탱 판다 and APT28와 같은 Securonix 위협 연구팀 은 최근 GO#WEBBFUSCATOR로 알려진 새로운 Golang 공격 캠페인을 밝혀냈습니다. 이 악성 캠페인에서 해커들은 합법적인 제임스 웹 우주 망원경 이미지를 악용하여 Golang 프로그래밍 언어로 작성된 악성코드 샘플을 숨기고 있습니다. 

적들은 피싱 이메일 공격 벡터를 활용하여 악성코드를 확산시킵니다. 감염 체인은 Microsoft Office 첨부 파일이 열리면 악성 템플릿 파일을 다운로드함으로써 시작됩니다. 후자는 매크로가 활성화되면 악성 코드를 실행하는 VB 스크립트를 포함하고 있습니다. 디오뷰스케이트된 코드는 James Webb 망원경의 첫 딥 필드 캡처를 보여주는 JPG 유인 파일을 다운로드하며, 이는 악성 Base64 인코딩된 페이로드로 드러납니다. 악성코드는 정교한 분석 회피 기법을 적용하고 GitHub에서 사용할 수 있는 Golang 기반의 고뷰스케이션 도구를 활용하여 탐지를 피합니다. 

공격자들은 암호화된 DNS 쿼리 및 응답을 통해 C&C 서버와 통신하며, Windows 커맨드 라인을 사용하여 서버가 전송한 명령을 실행할 수 있도록 합니다. cmd.exe 도구.

빠르게 변하는 위협 환경은 사이버 수비수에게 초창의 대응을 요구합니다. 검색 socprime.com 을 통해 신속하게 새로운 위협에 대응하고 위협 조사를 간소화하거나 맞춤형 Detection-as-Code 콘텐츠를 통해 향상된 사이버 방어 기능을 최대한 활용하십시오 . 수습 및 숙련된 위협 헌터와 탐지 엔지니어 모두는에서 협업을 통해 탐지 콘텐츠를 작성하고 수익화함으로써 집합적인 산업 전문성을 풍부하게 할 수 있습니다. SOC Prime Threat Bounty Program.