日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
黑客利用天文望遠鏡拍攝的圖像傳播惡意軟件

據(jù)Bleeping Computer網(wǎng)站8月30日消息,威脅分析師發(fā)現(xiàn)了一個名為“GO#WEBBFUSCATOR”的新惡意軟件活動,該活動依賴網(wǎng)絡(luò)釣魚電子郵件、惡意文檔和來自詹姆斯韋伯望遠鏡的空間圖像來傳播惡意軟件。

該惡意軟件由 Golang 編寫,Golang 因其跨平臺的特性(Windows、Linux、Mac)以及對逆向工程和分析的強抵抗力而越發(fā)得到網(wǎng)絡(luò)犯罪分子的青睞。在 Securonix 的研究人員最近發(fā)現(xiàn)的活動中,攻擊者會在 VirusTotal 掃描平臺上投放當前未被防病毒引擎標記為病毒的有效負載。

感染鏈

感染始于一封帶有“Geos-Rates.docx”惡意文檔的網(wǎng)絡(luò)釣魚電子郵件,該文檔會下載模板文件,其中包含一個經(jīng)過混淆的 VBS 宏,如果在 Office 套件中啟用了宏,該宏會自動執(zhí)行。之后,該代碼從一個遠程資源(“xmlschemeformat[.]com”)下載 JPG 圖片(“OxB36F8GEEC634.jpg”),使用 certutil.exe 將其解碼為可執(zhí)行文件(“msdllupdate.exe”)并啟動。

以圖像查看器(左)和文本編輯器(右)打開圖片文件

在圖像查看器中,這是一張由 NASA 的詹姆斯韋伯望遠鏡于 2022 年 7 月發(fā)布的星系團 SMACS 0723圖片,若使用文本編輯器打開,則會顯示偽裝成內(nèi)含證書的額外內(nèi)容,其本質(zhì)是Base64編碼的惡意有效載荷。有效載荷的字符串使用ROT25進一步混淆,而二進制文件使用XOR來隱藏Golang程序集,以防止分析人員發(fā)現(xiàn)。除此之外,這些程序集還使用了案例修改來避免安全工具基于簽名的檢測。

根據(jù)動態(tài)惡意軟件分析推斷出的情況,該可執(zhí)行程序通過復(fù)制到'%localappdata%%microsoft\vault\'并添加一個新的注冊表鍵來實現(xiàn)持久性,之后便與命令和控制(C2)服務(wù)器建立了DNS連接,并發(fā)送加密查詢。C2可通過設(shè)置連接請求之間的時間間隔、更改nslookup超時或通過Windows cmd.exe工具發(fā)出執(zhí)行命令來響應(yīng)惡意軟件。

在測試過程中,Securonix觀察到攻擊者在其測試系統(tǒng)上運行任意的枚舉命令,這是一個標準偵察步驟的第一步。研究人員指出,用于該活動的域名注冊時間較新,最早的注冊時間是 2022 年 5 月 29 日。

Securonix 提供了一組危害指標 (IoC),其中包括基于網(wǎng)絡(luò)和主機的指標。


文章名稱:黑客利用天文望遠鏡拍攝的圖像傳播惡意軟件
當前網(wǎng)址:http://www.5511xx.com/article/dpddccg.html