黑客把恶意程序藏在韦伯望远镜所拍摄的太空画面中

安全企业Securonix本周披露,他们发现了一个新的攻击行动,黑客利用Golang程序语言及韦伯望远镜所拍摄的太空画面来感染受害者。

攻击的开端为一附带微软Word文件的网络钓鱼邮件,该文件在其中一个案例中的名称为Geos-Rates.docx,其文件元资料藏有一个外部参考,可用来下载恶意的范本文件。因此,只要用户一打开文件,系统就会下载并存储该范本文件。

该范本文件内置一个VB脚本程序,一旦用户激活宏即会自动执行,并连接至黑客的C&C服务器以下载另一个JPG图片档,该图片档即为韦伯望远镜所拍摄的首次深空照片(Webb’s First Deep Field)。

图片来源/Securonix

韦伯太空望远镜(James Webb Space Telescope)是迄今全球最先进的太空望远镜,去年底才正式激活,其首次深空照片拍下了诞生于46亿年前的SMACS 0723星系团,号称是早期宇宙最深处也最清晰的红外线图片。

然而,研究人员却发现这张SMACS 0723星系团照片藏匿了以Golang撰写的恶意程序,并假冒为凭证,且直至本周都一直未被其它杀毒产品发现。该恶意程序的目的为长驻受害系统,以让黑客可借由C&C服务器控制。

除了利用近来深受太空迷注意的Webb’s First Deep Field图片之外,根据安全企业Intezer的调查,以Golang撰写的恶意程序从2017年到2020年之间增加了2,000%,Securonix则说,相较于C++ 或C#,Golang更难分析或进行反向工程,且Golang更具跨平台的弹性,再加上坊间已经出现了不少用来生产Golang恶意程序与执行文件的框架,诸如ColdFire或OffensiveGolang,使得Securonix再度提醒各界应对Golang恶意程序提高警觉。