GootBot Malware sprider sig i alarmerande takt
En nyligen upptäckt variant av GootLoader skadlig kod, känd som GootBot, har identifierats som ett verktyg som möjliggör obehörig rörelse inom komprometterade system och lyckas undvika upptäckt. Forskare från IBM X-Force, Golo Mühr och Ole Villadsen, noterade att GootLoader-gruppen har introducerat den här anpassade boten i ett sent skede av deras attackprocess i ett försök att undvika upptäckt när de använder allmänt tillgängliga kommando- och kontrollverktyg (C2) som CobaltStrike eller RDP.
Denna nya iteration av skadlig programvara är både lätt och effektiv, vilket gör det möjligt för angripare att snabbt infiltrera ett nätverk och introducera ytterligare skadliga nyttolaster. GootLoader, som namnet antyder, är en skadlig programvara som specialiserar sig på att ladda ner skadlig programvara i efterföljande skede efter att ha lockat potentiella offer genom förgiftningstekniker för sökmotoroptimering (SEO). Den har kopplats till en hotaktör identifierad som Hive0127 (även känd som UNC2565).
Utplaceringen av GootBot innebär en förändring i strategin, där implantatet levereras som en nyttolast efter en GootLoader-infektion istället för att förlita sig på ramverk efter exploatering som CobaltStrike. GootBot beskrivs som ett mörkt PowerShell-skript designat för att ansluta till en komprometterad WordPress-webbplats för kommando och kontroll och för att få ytterligare instruktioner.
GootBot använder smarta knep
Ytterligare komplicerar situationen är användningen av en distinkt hårdkodad C2-server för varje GootBot-instans, vilket gör det utmanande att blockera skadlig nätverkstrafik. Aktuella kampanjer har observerats med SEO-förgiftade sökresultat relaterade till teman som kontrakt, juridiska dokument eller annat affärsrelaterat innehåll, som leder offer till intrångade webbplatser som verkar vara legitima forum. Där luras de att ladda ner den initiala nyttolasten i form av en arkivfil. Den här arkivfilen innehåller en dold JavaScript-fil som vid körning hämtar en annan JavaScript-fil, planerad att köras som en beständighetsmekanism.
I det andra steget konfigureras JavaScript för att köra ett PowerShell-skript som samlar systeminformation och skickar den till en fjärrserver. I gengäld svarar servern med ett PowerShell-skript som fungerar i en oändlig loop, vilket gör att hotaktören kan distribuera olika nyttolaster. Detta inkluderar GootBot, som regelbundet kommunicerar med sin C2-server var 60:e sekund för att hämta och utföra PowerShell-uppgifter och skicka tillbaka resultaten till servern via HTTP POST-förfrågningar.
GootBot har en rad möjligheter, från spaning till sidorörelse i den komprometterade miljön, vilket avsevärt förstärker attackens omfattning.
