GootBot-malware verspreidt zich in een alarmerend tempo

Een onlangs ontdekte variant van de GootLoader-malware, bekend als GootBot, is geïdentificeerd als een tool die ongeoorloofde verplaatsing binnen gecompromitteerde systemen mogelijk maakt en detectie weet te voorkomen. Onderzoekers van IBM X-Force, Golo Mühr en Ole Villadsen merkten op dat de GootLoader-groep deze aangepaste bot in een laat stadium van hun aanvalsproces heeft geïntroduceerd in een poging om detectie te voorkomen bij het gebruik van algemeen beschikbare command and control (C2) tools zoals CobaltStrike of RDP.

Deze nieuwe versie van de malware is zowel lichtgewicht als efficiënt, waardoor aanvallers snel een netwerk kunnen infiltreren en extra kwaadaardige ladingen kunnen introduceren. GootLoader is, zoals de naam al doet vermoeden, malware die gespecialiseerd is in het downloaden van malware in de volgende fase nadat deze potentiële slachtoffers heeft aangetrokken via vergiftigingstechnieken voor zoekmachineoptimalisatie (SEO). Het is gekoppeld aan een bedreigingsacteur geïdentificeerd als Hive0127 (ook bekend als UNC2565).

De inzet van GootBot betekent een verandering in de strategie, waarbij het implantaat wordt afgeleverd als een payload na een GootLoader-infectie in plaats van te vertrouwen op post-exploitatieframeworks zoals CobaltStrike. GootBot wordt beschreven als een verborgen PowerShell-script dat is ontworpen om verbinding te maken met een gecompromitteerde WordPress-site voor commando en controle en om verdere instructies te ontvangen.

GootBot gebruikt slimme trucs

Wat de situatie nog ingewikkelder maakt, is het gebruik van een afzonderlijke, hardgecodeerde C2-server voor elke GootBot-instantie, waardoor het lastig wordt kwaadaardig netwerkverkeer te blokkeren. Er zijn huidige campagnes waargenomen waarbij gebruik werd gemaakt van SEO-vergiftigde zoekresultaten met betrekking tot thema's als contracten, juridische documenten of andere bedrijfsgerelateerde inhoud, waarbij slachtoffers naar gecompromitteerde websites werden geleid die legitieme forums leken. Daar worden ze misleid om de initiële lading in de vorm van een archiefbestand te downloaden. Dit archiefbestand bevat een verborgen JavaScript-bestand dat bij uitvoering een ander JavaScript-bestand ophaalt, gepland om te worden uitgevoerd als een persistentiemechanisme.

In de tweede fase wordt JavaScript geconfigureerd om een PowerShell-script uit te voeren dat systeeminformatie verzamelt en naar een externe server verzendt. In ruil daarvoor reageert de server met een PowerShell-script dat in een oneindige lus werkt, waardoor de bedreigingsacteur verschillende payloads kan verspreiden. Dit omvat GootBot, dat periodiek elke 60 seconden communiceert met zijn C2-server om PowerShell-taken op te halen en uit te voeren en de resultaten terug te sturen naar de server via HTTP POST-verzoeken.

GootBot beschikt over een scala aan mogelijkheden, van verkenning tot zijwaartse beweging binnen de aangetaste omgeving, waardoor de reikwijdte van de aanval aanzienlijk wordt vergroot.