„GootBot“ kenkėjiška programa plinta nerimą keliančiu greičiu

Neseniai aptiktas „GootLoader“ kenkėjiškos programos variantas, žinomas kaip „GootBot“, buvo nustatytas kaip įrankis, leidžiantis neteisėtai judėti pažeistose sistemose ir išvengti aptikimo. Tyrėjai iš IBM X-Force, Golo Mühr ir Ole Villadsen pažymėjo, kad GootLoader grupė pristatė šį tinkintą robotą vėlyvoje atakos proceso stadijoje, siekdama išvengti aptikimo naudojant įprastus komandų ir valdymo (C2) įrankius, tokius kaip CobaltStrike. arba KPP.

Ši nauja kenkėjiškų programų iteracija yra lengva ir efektyvi, todėl užpuolikai gali greitai įsiskverbti į tinklą ir įnešti papildomų kenksmingų krovinių. „GootLoader“, kaip rodo pavadinimas, yra kenkėjiška programa, kuri specializuojasi atsisiunčiant vėlesnio etapo kenkėjiškas programas po to, kai pritraukia potencialias aukas per paieškos sistemų optimizavimo (SEO) apsinuodijimo metodus. Jis buvo susietas su grėsmės veikėju, identifikuotu kaip Hive0127 (taip pat žinomas kaip UNC2565).

„GootBot“ diegimas reiškia strategijos pasikeitimą, kai implantas pristatomas kaip naudingas krovinys po „GootLoader“ infekcijos, o ne pasikliaujant poeksploatacinėmis sistemomis, tokiomis kaip „CobaltStrike“. „GootBot“ apibūdinamas kaip užmaskuotas „PowerShell“ scenarijus, skirtas prisijungti prie pažeistos „WordPress“ svetainės, kad būtų galima valdyti ir valdyti bei gauti tolimesnes instrukcijas.

„GootBot“ naudoja protingus triukus

Situaciją dar labiau apsunkina tai, kad kiekvienam „GootBot“ egzemplioriui naudojamas atskiras sunkiai užkoduotas C2 serveris, todėl sunku blokuoti kenkėjišką tinklo srautą. Dabartinės kampanijos buvo stebimos naudojant SEO užkrėstus paieškos rezultatus, susijusius su tokiomis temomis kaip sutartys, teisiniai dokumentai ar kitas su verslu susijęs turinys, nukreipiant aukas į pažeistas svetaines, kurios, atrodo, yra teisėti forumai. Ten jie apgaudinėjami atsisiunčiant pradinę naudingąją apkrovą archyvo failo pavidalu. Šiame archyvo faile yra uždengtas „JavaScript“ failas, kurį vykdant nuskaitomas kitas „JavaScript“ failas, suplanuotas veikti kaip atkaklumo mechanizmas.

Antrame etape JavaScript sukonfigūruojamas vykdyti PowerShell scenarijų, kuris renka sistemos informaciją ir siunčia ją į nuotolinį serverį. Savo ruožtu serveris atsako naudodamas „PowerShell“ scenarijų, kuris veikia begaliniu ciklu ir leidžia grėsmės veikėjui paskirstyti įvairius naudingus krovinius. Tai apima „GootBot“, kuris periodiškai bendrauja su savo C2 serveriu kas 60 sekundžių, kad gautų ir vykdytų „PowerShell“ užduotis ir siųstų rezultatus atgal į serverį per HTTP POST užklausas.

„GootBot“ gali pasigirti įvairiomis galimybėmis – nuo žvalgybos iki šoninio judėjimo pažeistoje aplinkoje, o tai žymiai padidina atakos apimtį.