Campanha de Ataque Golang Rastreados como GO#WEBBFUSCATOR Aplica Imagens do Telescópio Espacial James Webb como Iscas para Infectar Sistemas

[post-views]
Setembro 05, 2022 · 4 min de leitura
Campanha de Ataque Golang Rastreados como GO#WEBBFUSCATOR Aplica Imagens do Telescópio Espacial James Webb como Iscas para Infectar Sistemas

O panorama moderno das ameaças cibernéticas ilustra uma tendência crescente no uso de malware baseado em Golang, que é ativamente adotado por vários coletivos de hackers. Pesquisadores de cibersegurança recentemente descobriram uma nova campanha maliciosa baseada em Golang rastreada como GO#WEBBFUSCATOR, na qual hackers utilizam uma imagem de campo profundo notória tirada do Telescópio Espacial James Webb da NASA como um isca para implantar malware em sistemas comprometidos. 

Detecção de Atividade GO#WEBBFUSCATOR: Nova Campanha de Ataque Baseada em Golang

Praticantes de cibersegurança buscam constantemente enriquecer seu conjunto de ferramentas defensivas para acompanhar o crescente volume de ataques. A plataforma Detection as Code da SOC Prime lançou recentemente uma regra Sigma curada, criada pelo prolífico desenvolvedor do Programa Threat Bounty, Osman Demir, para ajudar as organizações a identificar pontualmente as cepas de malware baseadas em Golang espalhadas na campanha de ataque GO#WEBBFUSCATOR em andamento. Siga o link abaixo para obter acesso instantâneo ao contexto dedicado enriquecido regra Sigma disponível no Motor de Busca de Ameaças Cibernéticas da SOC Prime:

Regra Sigma para detectar a atividade maliciosa associada à campanha de ataque GO#WEBFUSCATOR

Esta detecção é compatível com 23 soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime e está alinhada com o framework MITRE ATT&CK® abordando a tática de Execução e o Interpretador de Comandos e Scripts (T1059) como sua técnica principal. 

Ao se juntar às fileiras da iniciativa colaborativa da SOC Prime, Programa Threat Bounty, os contribuidores de conteúdo de detecção podem ter a oportunidade de criar suas próprias regras Sigma e YARA, compartilhá-las com a comunidade global de defensores cibernéticos e receber recompensas recorrentes por sua contribuição.

Para ajudar as organizações a se anteciparem aos atacantes e se defenderem proativamente contra malwares baseados em Golang, que estão sendo ativamente desenvolvidos e distribuídos por cibercriminosos, a SOC Prime oferece uma lista abrangente de algoritmos de detecção dedicados. Clique no Explore Detecções botão abaixo para acessar a lista de regras Sigma relevantes para identificar ameaças baseadas em Golang, acompanhadas de informações contextuais perspicazes, como links MITRE ATT&CK e CTI, recomendações de mitigação e mais informações acionáveis.

Explore Detecções

Análise de Ataque GO#WEBBFUSCATOR

Amostras de malware escritas na linguagem de programação Go tiveram um aumento de 2.000% nos últimos anos, sendo ativamente aproveitadas em campanhas adversárias por grupos APT infames, como Mustang Panda and APT28. A equipe de pesquisa de ameaças da Securonix recentemente descobriu uma nova campanha de ataque em Golang conhecida como GO#WEBBFUSCATOR. Nesta campanha maliciosa, hackers aplicam imagens legítimas do Telescópio Espacial James Webb para esconder amostras de malware escritas na linguagem de programação Golang. 

Os adversários exploram o vetor de ataque de e-mail de phishing para espalhar malware. A cadeia de infecção é desencadeada pelo anexo do Microsoft Office, que, se aberto, baixa um arquivo de modelo malicioso. Este último contém um script VB, que executa código malicioso assim que o usuário comprometido habilita a macro. O código desobfuscado baixa o arquivo de isca JPG ilustrando uma captura de campo profundo do telescópio James Webb, que se revela ser um payload malicioso codificado em Base64. O malware aplica técnicas sofisticadas de anti-análise e tira proveito da ferramenta Golang-based Gobfuscation disponível no GitHub para evadir detecção. 

Os atacantes se comunicam com o servidor C&C via consultas e respostas DNS criptografadas, permitindo que o malware execute comandos enviados pelo servidor por meio do uso da linha de comando do Windows cmd.exe ferramenta.

O panorama de ameaças em constante mudança requer ultra-responsividade dos defensores cibernéticos. Procure socprime.com para reagir pontualmente a ameaças emergentes e agilizar a investigação de ameaças ou aproveitar ao máximo as capacidades aprimoradas de defesa cibernética com conteúdo de Detecção como Código personalizado disponível sob demanda. Tanto Caçadores de Ameaças aspirantes quanto experientes e Engenheiros de Detecção podem enriquecer a experiência coletiva da indústria ao autorar e monetizar conteúdo de detecção por meio da colaboração com o Programa Threat Bounty da SOC Prime.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards SOC Prime Anuncia Programa de Indicação para Defensores Cibernéticos Individuais 4 min de leitura Plataforma SOC Prime SOC Prime Anuncia Programa de Indicação para Defensores Cibernéticos Individuais by Daryna Olyniychuk
Todas as notícias