駭客把惡意程式藏在韋伯望遠鏡所拍攝的太空畫面中

資安業者Securonix本周披露，他們發現了一個新的攻擊行動，駭客利用Golang程式語言及韋伯望遠鏡所拍攝的太空畫面來感染受害者。

攻擊的開端為一夾帶微軟Word文件的網釣郵件，該文件在其中一個案例中的名稱為Geos-Rates.docx，其文件元資料藏有一個外部參考，可用來下載惡意的範本檔案。因此，只要使用者一開啟文件，系統就會下載並儲存該範本檔案。

該範本檔案內含一個VB腳本程式，一旦使用者啟用巨集即會自動執行，並連結至駭客的C&C伺服器以下載另一個JPG影像檔，此一影像檔即為韋伯望遠鏡所拍攝的首次深空照片（Webb’s First Deep Field）。

圖片來源／Securonix

韋伯太空望遠鏡（James Webb Space Telescope）是迄今全球最先進的太空望遠鏡，去年底才正式啟用，其首次深空照片拍下了誕生於46億年前的SMACS 0723星系團，號稱是早期宇宙最深處也最清晰的紅外線影像。

然而，研究人員卻發現這張SMACS 0723星系團照片藏匿了以Golang撰寫的惡意程式，並假冒為憑證，且直至本周都一直未被其它防毒產品發現。此一惡意程式的目的為長駐受害系統，以讓駭客可藉由C&C伺服器控制。

除了利用近來深受太空迷注意的Webb’s First Deep Field影像之外，根據資安業者Intezer的調查，以Golang撰寫的惡意程式從2017年到2020年之間增加了2,000%，Securonix則說，相較於C++ 或C#，Golang更難分析或進行反向工程，且Golang更具跨平臺的彈性，再加上坊間已經出現了不少用來生產Golang惡意程式與執行檔的框架，諸如ColdFire或OffensiveGolang，使得Securonix再度提醒各界應對Golang惡意程式提高警覺。