Вредоносное ПО GootBot распространяется с угрожающей скоростью

Недавно обнаруженный вариант вредоносного ПО GootLoader, известный как GootBot, был идентифицирован как инструмент, который обеспечивает несанкционированное перемещение внутри скомпрометированных систем и позволяет избежать обнаружения. Исследователи из IBM X-Force Голо Мюр и Оле Вилладсен отметили, что группа GootLoader представила этого специального бота на поздней стадии процесса атаки, чтобы избежать обнаружения при использовании общедоступных инструментов управления и контроля (C2), таких как CobaltStrike. или РДП.

Эта новая версия вредоносного ПО является одновременно легкой и эффективной, что позволяет злоумышленникам быстро проникнуть в сеть и внедрить дополнительные вредоносные полезные нагрузки. GootLoader, как следует из названия, представляет собой вредоносное ПО, которое специализируется на загрузке вредоносного ПО на последующей стадии после привлечения потенциальных жертв с помощью методов отравления поисковой оптимизации (SEO). Он был связан с злоумышленником, известным как Hive0127 (также известным как UNC2565).

Развертывание GootBot означает изменение стратегии: имплантат доставляется в качестве полезной нагрузки после заражения GootLoader вместо использования фреймворков после эксплуатации, таких как CobaltStrike. GootBot описывается как скрытый скрипт PowerShell, предназначенный для подключения к взломанному сайту WordPress для управления и контроля и получения дальнейших инструкций.

GootBot использует хитрые трюки

Ситуацию еще больше усложняет использование отдельного жестко запрограммированного сервера C2 для каждого экземпляра GootBot, что затрудняет блокировку вредоносного сетевого трафика. Текущие кампании были замечены с использованием SEO-отравленных результатов поиска, связанных с такими темами, как контракты, юридические документы или другой контент, связанный с бизнесом, направляя жертв на взломанные веб-сайты, которые кажутся законными форумами. Там их обманом заставляют загрузить исходную полезную нагрузку в виде архивного файла. Этот архивный файл содержит скрытый файл JavaScript, который при выполнении извлекает другой файл JavaScript, запланированный для запуска в качестве механизма сохранения.

На втором этапе JavaScript настраивается на выполнение сценария PowerShell, который собирает системную информацию и отправляет ее на удаленный сервер. В ответ сервер отвечает сценарием PowerShell, который работает в бесконечном цикле, позволяя злоумышленнику распространять различные полезные данные. Сюда входит GootBot, который периодически связывается со своим сервером C2 каждые 60 секунд для получения и выполнения задач PowerShell и отправки результатов обратно на сервер через запросы HTTP POST.

GootBot может похвастаться широким спектром возможностей: от разведки до горизонтального перемещения в скомпрометированной среде, что значительно расширяет масштаб атаки.