Το κακόβουλο λογισμικό GootBot εξαπλώνεται με ανησυχητικό ρυθμό
Μια παραλλαγή του κακόβουλου λογισμικού GootLoader που ανακαλύφθηκε πρόσφατα, γνωστή ως GootBot, έχει αναγνωριστεί ως εργαλείο που επιτρέπει τη μη εξουσιοδοτημένη κίνηση μέσα σε παραβιασμένα συστήματα και καταφέρνει να αποφύγει τον εντοπισμό. Ερευνητές από την IBM X-Force, Golo Mühr και Ole Villadsen, σημείωσαν ότι η ομάδα GootLoader εισήγαγε αυτό το προσαρμοσμένο bot σε ένα τελευταίο στάδιο της διαδικασίας επίθεσης σε μια προσπάθεια να αποφύγει τον εντοπισμό όταν χρησιμοποιεί κοινά διαθέσιμα εργαλεία εντολών και ελέγχου (C2) όπως το CobaltStrike ή RDP.
Αυτή η νέα επανάληψη του κακόβουλου λογισμικού είναι τόσο ελαφριά όσο και αποτελεσματική, επιτρέποντας στους εισβολείς να διεισδύσουν γρήγορα σε ένα δίκτυο και να εισάγουν επιπλέον κακόβουλα ωφέλιμα φορτία. Το GootLoader, όπως υποδηλώνει το όνομα, είναι ένα κακόβουλο λογισμικό που ειδικεύεται στη λήψη κακόβουλου λογισμικού σε επόμενο στάδιο μετά την προσέλκυση πιθανών θυμάτων μέσω τεχνικών δηλητηρίασης βελτιστοποίησης μηχανών αναζήτησης (SEO). Έχει συνδεθεί με έναν παράγοντα απειλής που προσδιορίζεται ως Hive0127 (επίσης γνωστός ως UNC2565).
Η ανάπτυξη του GootBot σημαίνει αλλαγή στρατηγικής, με το εμφύτευμα να παραδίδεται ως ωφέλιμο φορτίο μετά από μόλυνση του GootLoader αντί να βασίζεται σε πλαίσια μετά την εκμετάλλευση, όπως το CobaltStrike. Το GootBot περιγράφεται ως ένα συγκαλυμμένο σενάριο PowerShell που έχει σχεδιαστεί για σύνδεση σε έναν παραβιασμένο ιστότοπο WordPress για εντολή και έλεγχο και για λήψη περαιτέρω οδηγιών.
Το GootBot χρησιμοποιεί έξυπνα κόλπα
Περαιτέρω περίπλοκη της κατάστασης είναι η χρήση ενός ξεχωριστού διακομιστή C2 με σκληρό κώδικα για κάθε παρουσία GootBot, γεγονός που καθιστά δύσκολο τον αποκλεισμό κακόβουλης κυκλοφορίας δικτύου. Οι τρέχουσες καμπάνιες έχουν παρατηρηθεί χρησιμοποιώντας αποτελέσματα αναζήτησης δηλητηριασμένα με SEO που σχετίζονται με θέματα όπως συμβόλαια, νομικά έγγραφα ή άλλο περιεχόμενο που σχετίζεται με επιχειρήσεις, κατευθύνοντας τα θύματα σε παραβιασμένους ιστότοπους που φαίνεται να είναι νόμιμα φόρουμ. Εκεί, εξαπατούνται να κατεβάσουν το αρχικό ωφέλιμο φορτίο με τη μορφή αρχείου αρχειοθέτησης. Αυτό το αρχείο αρχειοθέτησης περιέχει ένα κρυφό αρχείο JavaScript που, κατά την εκτέλεση, ανακτά ένα άλλο αρχείο JavaScript, που έχει προγραμματιστεί να εκτελεστεί ως μηχανισμός επιμονής.
Στο δεύτερο στάδιο, η JavaScript ρυθμίζεται για να εκτελεί μια δέσμη ενεργειών PowerShell που συλλέγει πληροφορίες συστήματος και τις στέλνει σε έναν απομακρυσμένο διακομιστή. Σε αντάλλαγμα, ο διακομιστής αποκρίνεται με ένα σενάριο PowerShell που λειτουργεί σε έναν άπειρο βρόχο, επιτρέποντας στον παράγοντα απειλής να διανέμει διάφορα ωφέλιμα φορτία. Αυτό περιλαμβάνει το GootBot, το οποίο επικοινωνεί περιοδικά με τον διακομιστή του C2 κάθε 60 δευτερόλεπτα για να ανακτήσει και να εκτελέσει εργασίες PowerShell και να στείλει τα αποτελέσματα πίσω στον διακομιστή μέσω αιτημάτων HTTP POST.
Το GootBot μπορεί να υπερηφανεύεται για μια σειρά δυνατοτήτων, από αναγνώριση έως πλευρική κίνηση εντός του παραβιασμένου περιβάλλοντος, ενισχύοντας σημαντικά το εύρος της επίθεσης.
