GootBot-Malware verbreitet sich in alarmierendem Tempo
Eine kürzlich entdeckte Variante der GootLoader-Malware, bekannt als GootBot, wurde als Tool identifiziert, das unbefugte Bewegungen innerhalb kompromittierter Systeme ermöglicht und es schafft, einer Entdeckung zu entgehen. Golo Mühr und Ole Villadsen, Forscher von IBM oder RDP.
Diese neue Version der Malware ist sowohl leichtgewichtig als auch effizient und ermöglicht es Angreifern, schnell in ein Netzwerk einzudringen und zusätzliche bösartige Payloads einzuschleusen. GootLoader ist, wie der Name schon sagt, eine Malware, die sich auf das Herunterladen von Malware im Folgestadium spezialisiert hat, nachdem sie potenzielle Opfer durch Suchmaschinenoptimierungstechniken (SEO) angelockt hat. Es wurde mit einem Bedrohungsakteur namens Hive0127 (auch bekannt als UNC2565) in Verbindung gebracht.
Der Einsatz von GootBot bedeutet einen Strategiewechsel, da das Implantat nach einer GootLoader-Infektion als Nutzlast bereitgestellt wird, anstatt sich auf Post-Exploitation-Frameworks wie CobaltStrike zu verlassen. GootBot wird als verdecktes PowerShell-Skript beschrieben, das dazu dient, eine Verbindung zu einer kompromittierten WordPress-Site herzustellen, um Befehle und Kontrolle zu erhalten und weitere Anweisungen zu erhalten.
GootBot nutzt clevere Tricks
Erschwerend kommt hinzu, dass für jede GootBot-Instanz ein eigener fest codierter C2-Server verwendet wird, wodurch es schwierig wird, bösartigen Netzwerkverkehr zu blockieren. Es wurde beobachtet, dass aktuelle Kampagnen SEO-vergiftete Suchergebnisse zu Themen wie Verträgen, Rechtsdokumenten oder anderen geschäftsbezogenen Inhalten verwenden und Opfer auf manipulierte Websites leiten, bei denen es sich scheinbar um legitime Foren handelt. Dort werden sie dazu verleitet, die anfängliche Nutzlast in Form einer Archivdatei herunterzuladen. Diese Archivdatei enthält eine verdeckte JavaScript-Datei, die bei der Ausführung eine andere JavaScript-Datei abruft, die als Persistenzmechanismus ausgeführt werden soll.
In der zweiten Phase wird das JavaScript so konfiguriert, dass es ein PowerShell-Skript ausführt, das Systeminformationen sammelt und an einen Remote-Server sendet. Im Gegenzug antwortet der Server mit einem PowerShell-Skript, das in einer Endlosschleife läuft und es dem Bedrohungsakteur ermöglicht, verschiedene Nutzlasten zu verteilen. Dazu gehört GootBot, der regelmäßig alle 60 Sekunden mit seinem C2-Server kommuniziert, um PowerShell-Aufgaben abzurufen und auszuführen und die Ergebnisse über HTTP-POST-Anfragen an den Server zurückzusenden.
GootBot verfügt über eine Reihe von Fähigkeiten, die von der Aufklärung bis zur seitlichen Bewegung innerhalb der gefährdeten Umgebung reichen und die Reichweite des Angriffs erheblich vergrößern.