GootBot Malware spredes i alarmerende tempo
En nyligt opdaget variant af GootLoader malware, kendt som GootBot, er blevet identificeret som et værktøj, der muliggør uautoriseret bevægelse inden for kompromitterede systemer og formår at undgå opdagelse. Forskere fra IBM X-Force, Golo Mühr og Ole Villadsen bemærkede, at GootLoader-gruppen har introduceret denne brugerdefinerede bot på et sent stadium af deres angrebsproces i et forsøg på at undgå opdagelse, når de bruger almindeligt tilgængelige kommando- og kontrolværktøjer (C2) som CobaltStrike eller RDP.
Denne nye iteration af malware er både let og effektiv, hvilket gør det muligt for angribere hurtigt at infiltrere et netværk og introducere yderligere ondsindede nyttelaster. GootLoader, som navnet antyder, er en malware, der har specialiseret sig i at downloade malware i efterfølgende stadier efter at have tiltrukket potentielle ofre gennem søgemaskineoptimering (SEO) forgiftningsteknikker. Det er blevet forbundet med en trussel aktør identificeret som Hive0127 (også kendt som UNC2565).
Implementeringen af GootBot betyder en ændring i strategi, hvor implantatet leveres som en nyttelast efter en GootLoader-infektion i stedet for at stole på post-udnyttelsesrammer som CobaltStrike. GootBot beskrives som et skjult PowerShell-script designet til at oprette forbindelse til et kompromitteret WordPress-websted for kommando og kontrol og for at modtage yderligere instruktioner.
GootBot bruger smarte tricks
Yderligere komplicerer situationen brugen af en særskilt hårdkodet C2-server for hver GootBot-forekomst, hvilket gør det udfordrende at blokere ondsindet netværkstrafik. Aktuelle kampagner er blevet observeret ved hjælp af SEO-forgiftede søgeresultater relateret til temaer som kontrakter, juridiske dokumenter eller andet forretningsrelateret indhold, der leder ofre til kompromitterede websteder, der ser ud til at være legitime fora. Der bliver de snydt til at downloade den oprindelige nyttelast i form af en arkivfil. Denne arkivfil indeholder en skjult JavaScript-fil, der ved udførelse henter en anden JavaScript-fil, der er planlagt til at køre som en persistensmekanisme.
I anden fase er JavaScript konfigureret til at udføre et PowerShell-script, der samler systemoplysninger og sender dem til en ekstern server. Til gengæld svarer serveren med et PowerShell-script, der fungerer i en uendelig løkke, hvilket gør det muligt for trusselsaktøren at distribuere forskellige nyttelaster. Dette inkluderer GootBot, som periodisk kommunikerer med sin C2-server hvert 60. sekund for at hente og udføre PowerShell-opgaver og sende resultaterne tilbage til serveren via HTTP POST-anmodninger.
GootBot kan prale af en række muligheder, fra rekognoscering til lateral bevægelse i det kompromitterede miljø, hvilket markant forstærker omfanget af angrebet.
