Riasztó ütemben terjed a GootBot kártevő

A GootLoader rosszindulatú program egy nemrégiben felfedezett változatát, a GootBotot olyan eszközként azonosították, amely lehetővé teszi a jogosulatlan mozgást a feltört rendszereken belül, és képes elkerülni az észlelést. Az IBM X-Force kutatói, Golo Mühr és Ole Villadsen megjegyezték, hogy a GootLoader csoport támadási folyamatának késői szakaszában vezette be ezt az egyéni botot, hogy elkerülje az észlelést az általánosan elérhető parancs- és vezérlőeszközök (C2) használatakor, mint például a CobaltStrike. vagy RDP.

A rosszindulatú program ezen új iterációja egyszerre könnyű és hatékony, lehetővé téve a támadók számára, hogy gyorsan behatoljanak a hálózatba, és további rosszindulatú rakományokat vezessenek be. A GootLoader, ahogy a neve is sugallja, egy olyan rosszindulatú program, amely a következő fázisú kártevők letöltésére specializálódott, miután potenciális áldozatokat vonzott be keresőoptimalizálási (SEO) mérgezési technikákkal. Egy Hive0127 (más néven UNC2565) néven azonosított fenyegetést okozó szereplőhöz hozták összefüggésbe.

A GootBot bevezetése stratégiaváltást jelent, mivel az implantátumot a GootLoader fertőzést követően hasznos teherként szállítják ki, ahelyett, hogy a CobaltStrike-hoz hasonló kizsákmányolás utáni keretrendszerekre hagyatkozna. A GootBot egy homályos PowerShell-szkript, amelyet arra terveztek, hogy kapcsolódjon egy kompromittált WordPress-webhelyhez irányítás és vezérlés, valamint további utasítások fogadása céljából.

A GootBot okos trükköket használ

Tovább bonyolítja a helyzetet, hogy minden GootBot-példányhoz különálló, kemény kódolt C2-kiszolgálót használnak, ami kihívást jelent a rosszindulatú hálózati forgalom blokkolása. A jelenlegi kampányokat megfigyelték, hogy SEO-mérgezett keresési eredményeket használnak olyan témákhoz, mint a szerződések, jogi dokumentumok vagy más üzleti vonatkozású tartalmak, és az áldozatokat olyan feltört webhelyekre irányítják, amelyek legitim fórumnak tűnnek. Ott megtévesztik őket, hogy letöltsék a kezdeti hasznos anyagot egy archív fájl formájában. Ez az archív fájl egy kitakarott JavaScript-fájlt tartalmaz, amely végrehajtáskor egy másik JavaScript-fájlt kér le, amelyet a perzisztencia-mechanizmusként való futtatásra ütemeztek.

A második szakaszban a JavaScript úgy van beállítva, hogy egy PowerShell-szkriptet hajtson végre, amely összegyűjti a rendszerinformációkat, és elküldi azokat egy távoli kiszolgálónak. Cserébe a kiszolgáló egy PowerShell-szkripttel válaszol, amely végtelen ciklusban működik, lehetővé téve a fenyegetés szereplőjének, hogy különféle hasznos terheléseket ossza el. Ide tartozik a GootBot is, amely 60 másodpercenként időszakonként kommunikál C2-kiszolgálójával, hogy lekérje és végrehajtsa a PowerShell-feladatokat, és visszaküldje az eredményeket a szervernek HTTP POST-kéréseken keresztül.

A GootBot számos képességgel büszkélkedhet, a felderítéstől az oldalirányú mozgásig a veszélyeztetett környezetben, jelentősen kibővítve a támadás hatókörét.