GO#WEBBFUSCATOR adlı kalıcı bir Golang tabanlı kötü amaçlı yazılım kampanyası, virüslü sistemlerde kötü amaçlı yükleri dağıtmak için NASA’nın James Webb Uzay Teleskobu’ndan (JWST) alınan derin alan görüntüsünden yararlandı.
Securonix tarafından ortaya konan gelişme programlama dilinin platformlar arası desteği göz önüne alındığında, tehdit aktörleri arasında Go’nun giderek artan şekilde benimsendiğini ve operatörlerin farklı işletim sistemlerini hedeflemek için ortak bir kod tabanından yararlanmalarını etkin bir şekilde sağladığına işaret ediyor.
Go ikili dosyaları ayrıca, C++ veya C# gibi diğer dillerde yazılmış kötü amaçlı yazılımların aksine, tersine mühendisliği çok daha zorlayıcı hale getirme avantajına sahiptir ve uzun analiz ve algılama girişimlerinden bahsetmiyorum bile.
Bir Microsoft Office eki içeren kimlik avı e-postaları, açıldığında, gizlenmiş bir VBA makrosunu alan saldırı zinciri için giriş noktası görevi görür ve bu da alıcının makroları etkinleştirmesi durumunda otomatik olarak yürütülür.
Makronun yürütülmesi, görünüşe göre bir görüntü olan “OxB36F8GEEC634.jpg” görüntü dosyasının indirilmesiyle sonuçlanır. İlk Derin Alan JWST tarafından yakalanır, ancak bir metin düzenleyici kullanılarak denetlendiğinde, aslında Base64 ile kodlanmış bir yüktür.
“Görülmemiş [macro] kod yürütülür [a command] OxB36F8GEEC634.jpg adlı bir dosyayı indirecek olan certutil.exe bir ikili dosyaya (msdllupdate.exe) kodunu çözmek ve ardından son olarak yürütmek.
1.7 MB boyutunda bir Windows 64-bit yürütülebilir ikili dosyası, yalnızca kötü amaçlı yazılımdan koruma motorlarının radarı altında uçmak için donatılmamış, aynı zamanda bir Golang şaşırtma aracı GitHub’da herkese açık.
Gobfuscate kitaplığı, daha önce arkasındaki aktörler tarafından kullanıldığı şekilde belgelenmiştir. ChaChi operatörleri tarafından kullanılan bir uzaktan erişim truva atı PYSA (aka Mespinoza) araç setlerinin bir parçası olarak fidye yazılımı ve şerit komuta ve kontrol (C2) çerçevesi.
C2 sunucusuyla iletişim, şifreli DNS sorguları ve yanıtları aracılığıyla kolaylaştırılır ve kötü amaçlı yazılımın sunucu tarafından Windows Komut İstemi (cmd.exe) aracılığıyla gönderilen komutları çalıştırmasını sağlar. Kampanya için C2 alan adlarının Mayıs 2022’nin sonlarında kaydedildiği söyleniyor.
Araştırmacılar, “Certutil ile bir Golang ikili dosyası oluşturmak için meşru bir görüntü kullanmak çok yaygın değil” dedi ve ekledi, “ikili programın orijinal yazarının yükü hem bazı önemsiz adli tıp hem de EDR karşıtı algılama metodolojileriyle tasarladığı açık.”