GootBot マルウェアが驚くべきペースで拡散
最近発見された GootBot として知られる GootLoader マルウェアの亜種は、侵害されたシステム内での不正な移動を可能にし、検出を回避するツールであることが判明しました。 IBM X-Forceの研究者、Golo Mühr氏とOle Villadsen氏は、GootLoaderグループがCobaltStrikeなどの一般的に利用可能なコマンド&コントロール(C2)ツールを使用する際の検出を回避するために、攻撃プロセスの後期段階でこのカスタムボットを導入したと指摘した。またはRDP。
このマルウェアの新たな反復は軽量かつ効率的であり、攻撃者がネットワークに迅速に侵入し、追加の悪意のあるペイロードを導入することを可能にします。 GootLoader は、名前が示すように、検索エンジン最適化 (SEO) ポイズニング技術を通じて潜在的な被害者を引き付けた後、後続段階のマルウェアをダウンロードすることに特化したマルウェアです。これは、Hive0127 (UNC2565 としても知られる) として特定される脅威アクターに関連付けられています。
GootBot の導入は戦略の変更を意味し、CobaltStrike のようなエクスプロイト後のフレームワークに依存するのではなく、GootLoader 感染後のペイロードとしてインプラントが配信されます。 GootBot は、コマンド アンド コントロールのために侵害された WordPress サイトに接続し、さらなる指示を受け取るように設計された、難読化された PowerShell スクリプトとして説明されています。
GootBot は巧妙なトリックを使用します
状況をさらに複雑にしているのは、GootBot インスタンスごとに個別にハードコードされた C2 サーバーが使用されているため、悪意のあるネットワーク トラフィックをブロックすることが困難になっているということです。現在のキャンペーンでは、契約書、法的文書、その他のビジネス関連コンテンツなどのテーマに関連する SEO で汚染された検索結果を使用し、被害者を正規のフォーラムのように見える侵害された Web サイトに誘導することが観察されています。そこで、彼らはだまされて、アーカイブ ファイルの形式で初期ペイロードをダウンロードさせられます。このアーカイブ ファイルには、隠蔽された JavaScript ファイルが含まれており、実行時に、永続化メカニズムとして実行するようにスケジュールされた別の JavaScript ファイルが取得されます。
第 2 段階では、システム情報を収集してリモート サーバーに送信する PowerShell スクリプトを実行するように JavaScript が構成されます。これに対し、サーバーは無限ループで動作する PowerShell スクリプトで応答し、脅威アクターがさまざまなペイロードを配布できるようにします。これには、60 秒ごとに C2 サーバーと定期的に通信して PowerShell タスクを取得して実行し、結果を HTTP POST リクエストを通じてサーバーに送り返す GootBot が含まれます。
GootBot は、偵察から侵害された環境内での横方向の移動まで、幅広い機能を備えており、攻撃範囲を大幅に拡大します。