The Hacker Newsは8月31日(米国時間)、「Hackers Hide Malware in Stunning Images Taken by James Webb Space Telescope」において、ジェイムズ・ウェッブ宇宙望遠鏡(JWST: James Webb Space Telescope)が撮影した美しい宇宙画像にサイバー犯罪者がマルウェアを隠蔽したと伝えた。
「GO#WEBBFUSCATOR 」と呼ばれる持続的なGolangベースのマルウェアキャンペーンが、NASAのジェイムズ・ウェッブ宇宙望遠鏡で撮影されたディープフィールド画像を悪用し、悪意のあるペイロードを展開させていることがわかった。
セキュリティ分析企業であるSecuronixによって明らかにされたこのキャンペーンは、Microsoft Officeの添付ファイルを含むフィッシングメールによって展開されている。ユーザーが難読化されたVBAマクロを実行した場合、「OxB36F8GEEC634.jpg」という画像ファイルがダウンロードされる。一見すると、ジェイムズ・ウェッブ宇宙望遠鏡が捉えたディープフィールド画像のように見えるが、実際にはBase64エンコードされたペイロードであることがわかった。さらに、VBAマクロはcertutil.exeを使ってペイロードをGolangバイナリにデコードし、マルウェアを実行するとのことだ。
このキャンペーンは、サイバー犯罪者たちの間でGoの採用が進んでいることも示唆している。Goなどをベースにして開発した場合、共通のコードベースを効果的に活用してさまざまなオペレーティングシステムを標的にできるとされている。また、Goのバイナリはリバースエンジニアリングが非常に困難とされており、解析や検出の試みが長引くという利点を備えていると指摘している。
Microsoftは、Officeアプリケーション全体でマクロをデフォルトでブロックするという決定を下しており、多くのサイバー犯罪者はマルウェアを展開するために不正なLNKファイルやISOファイルに切り替えたキャンペーンにシフトしてきている。今回発見されたGO#WEBBFUSCATORのキャンペーンが同様の攻撃手法に切り替えるかどうかは明らかとなっていない(参考「VBAマクロ封じられたサイバー犯罪者次の一手、LNKファイル悪用が1,675%増加 | TECH+」「MicrosoftのOffice VBAマクロ無効化、犯罪者は新たな手口で対抗 | TECH+」)。
Securonixのセキュリティ研究者は、certutil.exeを使用してGolangバイナリを構築するために正規の画像を使用することはあまり一般的ではないと報告している。また、バイナリのオリジナル作者はつまらないカウンターフォレンジックとアンチEDR検出方法の両方を考慮してペイロードを設計したことは明らかだと付け加えている。