GootBot Malware sprer seg i et alarmerende tempo
En nylig oppdaget variant av GootLoader malware, kjent som GootBot, har blitt identifisert som et verktøy som muliggjør uautorisert bevegelse innenfor kompromitterte systemer og klarer å unngå oppdagelse. Forskere fra IBM X-Force, Golo Mühr og Ole Villadsen, bemerket at GootLoader-gruppen har introdusert denne tilpassede boten på et sent stadium av angrepsprosessen deres i et forsøk på å unngå oppdagelse ved bruk av vanlig tilgjengelige kommando- og kontrollverktøy (C2) som CobaltStrike eller RDP.
Denne nye iterasjonen av skadelig programvare er både lett og effektiv, og gjør det mulig for angripere å raskt infiltrere et nettverk og introdusere ytterligere skadelige nyttelaster. GootLoader, som navnet antyder, er en skadelig programvare som spesialiserer seg på å laste ned skadelig programvare i påfølgende stadier etter å ha tiltrukket potensielle ofre gjennom forgiftningsteknikker for søkemotoroptimalisering (SEO). Det har blitt knyttet til en trusselaktør identifisert som Hive0127 (også kjent som UNC2565).
Utplasseringen av GootBot betyr en endring i strategi, der implantatet leveres som en nyttelast etter en GootLoader-infeksjon i stedet for å stole på rammeverk etter utnyttelse som CobaltStrike. GootBot er beskrevet som et skjult PowerShell-skript designet for å koble til et kompromittert WordPress-nettsted for kommando og kontroll og for å motta ytterligere instruksjoner.
GootBot bruker smarte triks
Ytterligere kompliserer situasjonen er bruken av en distinkt hardkodet C2-server for hver GootBot-forekomst, noe som gjør det utfordrende å blokkere ondsinnet nettverkstrafikk. Aktuelle kampanjer har blitt observert ved å bruke SEO-forgiftede søkeresultater relatert til temaer som kontrakter, juridiske dokumenter eller annet forretningsrelatert innhold, og dirigerer ofre til kompromitterte nettsteder som ser ut til å være legitime fora. Der blir de lurt til å laste ned den første nyttelasten i form av en arkivfil. Denne arkivfilen inneholder en skjult JavaScript-fil som ved kjøring henter en annen JavaScript-fil, planlagt å kjøre som en utholdenhetsmekanisme.
I det andre trinnet er JavaScript konfigurert til å kjøre et PowerShell-skript som samler systeminformasjon og sender den til en ekstern server. Til gjengjeld svarer serveren med et PowerShell-skript som opererer i en uendelig sløyfe, som gjør det mulig for trusselaktøren å distribuere ulike nyttelaster. Dette inkluderer GootBot, som periodisk kommuniserer med sin C2-server hvert 60. sekund for å hente og utføre PowerShell-oppgaver og sende resultatene tilbake til serveren gjennom HTTP POST-forespørsler.
GootBot har en rekke funksjoner, fra rekognosering til sideveis bevegelse i det kompromitterte miljøet, noe som forsterker omfanget av angrepet betydelig.