Złośliwe oprogramowanie GootBot rozprzestrzenia się w zastraszającym tempie

Niedawno odkryty wariant złośliwego oprogramowania GootLoader, znany jako GootBot, został zidentyfikowany jako narzędzie umożliwiające nieautoryzowany ruch w zaatakowanych systemach i unikające wykrycia. Badacze z IBM X-Force, Golo Mühr i Ole Villadsen zauważyli, że grupa GootLoader wprowadziła tego niestandardowego bota na późnym etapie procesu ataku, aby uniknąć wykrycia podczas korzystania z powszechnie dostępnych narzędzi dowodzenia i kontroli (C2), takich jak CobaltStrike lub PROW.

Ta nowa wersja szkodliwego oprogramowania jest zarówno lekka, jak i wydajna, umożliwiając atakującym szybką infiltrację sieci i wprowadzenie dodatkowych szkodliwych ładunków. GootLoader, jak sama nazwa wskazuje, to złośliwe oprogramowanie specjalizujące się w pobieraniu złośliwego oprogramowania na kolejnym etapie po przyciągnięciu potencjalnych ofiar za pomocą technik zatruwania optymalizacji wyszukiwarek (SEO). Został powiązany z ugrupowaniem zagrażającym zidentyfikowanym jako Hive0127 (znanym również jako UNC2565).

Wdrożenie GootBota oznacza zmianę strategii, w ramach której implant jest dostarczany jako ładunek po infekcji GootLoader, zamiast polegać na platformach poeksploatacyjnych, takich jak CobaltStrike. GootBot jest opisywany jako ukryty skrypt PowerShell zaprojektowany do łączenia się z zaatakowaną witryną WordPress w celu uzyskania poleceń i kontroli oraz otrzymania dalszych instrukcji.

GootBot używa sprytnych sztuczek

Sytuację dodatkowo komplikuje użycie odrębnego, zakodowanego na stałe serwera C2 dla każdej instancji GootBot, co utrudnia blokowanie złośliwego ruchu sieciowego. Zaobserwowano, że obecne kampanie wykorzystują wyniki wyszukiwania zatrute SEO, powiązane z tematami takimi jak umowy, dokumenty prawne lub inne treści związane z biznesem, kierując ofiary do zainfekowanych witryn internetowych, które wydają się być legalnymi forami. Tam zostają oszukani i pobiorą początkowy ładunek w postaci pliku archiwum. Ten plik archiwum zawiera ukryty plik JavaScript, który po uruchomieniu pobiera inny plik JavaScript, zaplanowany do uruchomienia jako mechanizm trwałości.

W drugim etapie JavaScript jest skonfigurowany do wykonywania skryptu PowerShell, który zbiera informacje o systemie i wysyła je do zdalnego serwera. W zamian serwer odpowiada skryptem PowerShell, który działa w nieskończonej pętli, umożliwiając ugrupowaniu zagrażającemu dystrybucję różnych ładunków. Obejmuje to GootBot, który okresowo komunikuje się ze swoim serwerem C2 co 60 sekund w celu pobrania i wykonania zadań PowerShell oraz przesłania wyników z powrotem do serwera za pośrednictwem żądań HTTP POST.

GootBot oferuje szereg możliwości, od rozpoznania po ruch boczny w zagrożonym środowisku, znacznie zwiększając zakres ataku.