Команда исследования угроз Securonix недавно обнаружила уникальный образец постоянной атакующей кампании на базе языка Golang, отслеживаемой Securonix как GO#WEBBFUSCATOR. Новая кампания использует не менее интересную стратегию, используя печально известное изображение глубокого поля, полученное с телескопа James Webb, и обфусцированные полезные нагрузки языка программирования Golang для заражения целевой системы вредоносным ПО.
Вредоносное ПО на базе Golang набирает популярность среди групп APT, таких как Mustang Panda. Есть несколько причин, по которым эти APT переходят на платформу Go. Во-первых, двоичные файлы Go гораздо сложнее анализировать и реверсировать по сравнению с компилированными двоичными файлами на C++ или C#. Go также очень гибок, когда речь идет о кросс-платформенной поддержке и компиляции. Авторы вредоносных программ могут компилировать код, используя общую кодовую базу для нескольких платформ, таких как операционные системы Windows и *NIX.
Кроме того, существует несколько известных фреймворков для вредоносных программ, таких как ColdFire и OffensiveGolang, предназначенных для создания вредоносных программ и исполняемых файлов на базе Go.
Indicators of Compromise
IPv4
- 185.247.209.255
- 139.28.36.222
Domains
- xmlschemeformat.com
- updatesagent.com
- apiregis.com
SHA256
- 383136adaf956f1fab03de8c1064f7b9119b5b656bedda7ce3137bebbb2a920f
- 3bdf6d9f0f35be75d8345d897ec838ae231ba01ae898f6d0c8f920ff4061fc22
- d09af37cdbae7273e4e7c79b242023ffdb07c8ccab2280db7fe511d2b14ad19c
- da43ec30fe12c45529e51a0c986a856aa8772483875356f29382ac514788f86d
Paths
- %LOCALAPPDATA%\microsoft\vault\Msdllupdate.exe
- %LOCALAPPDATA%\microsoft\vault\Update.bat
- %LOCALAPPDATA%\microsoft\windows\MsSafety\Msdllupdate.exe
- %LOCALAPPDATA%\microsoft\vault\MsDb.db