GootBot 恶意软件以惊人的速度传播

最近发现的 GootLoader 恶意软件变体（称为 GootBot）已被确定为一种工具，可以在受感染的系统中进行未经授权的移动并设法避免检测。 IBM X-Force 的研究人员 Golo Mühr 和 Ole Villadsen 指出，GootLoader 组织在攻击过程的后期引入了这种自定义机器人，以避免在使用 CobaltStrike 等常用命令和控制 (C2) 工具时被检测到。或 RDP。

该恶意软件的新版本既轻量又高效，使攻击者能够迅速渗透网络并引入额外的恶意负载。 GootLoader，顾名思义，是一种专门通过搜索引擎优化（SEO）中毒技术吸引潜在受害者后下载后续阶段恶意软件的恶意软件。它与一个名为 Hive0127（也称为 UNC2565）的威胁行为者有关。

GootBot 的部署标志着策略的改变，植入程序在 GootLoader 感染后作为有效负载进行交付，而不是依赖于 CobaltStrike 等后利用框架。 GootBot 被描述为一个模糊的 PowerShell 脚本，旨在连接到受感染的 WordPress 网站以进行命令和控制，并接收进一步的指令。

GootBot 使用巧妙的技巧

使情况更加复杂的是每个 GootBot 实例都使用不同的硬编码 C2 服务器，这使得阻止恶意网络流量变得具有挑战性。据观察，当前的活动使用与合同、法律文件或其他业务相关内容等主题相关的 SEO 中毒搜索结果，将受害者引导至看似合法论坛的受感染网站。在那里，他们被欺骗以存档文件的形式下载初始有效负载。该存档文件包含一个模糊的 JavaScript 文件，该文件在执行时会检索另一个 JavaScript 文件，并计划作为持久性机制运行。

在第二阶段，JavaScript 配置为执行 PowerShell 脚本，该脚本收集系统信息并将其发送到远程服务器。作为回报，服务器以无限循环运行的 PowerShell 脚本进行响应，使威胁参与者能够分发各种有效负载。其中包括 GootBot，它每 60 秒定期与其 C2 服务器进行通信，以检索和执行 PowerShell 任务，并通过 HTTP POST 请求将结果发送回服务器。

GootBot 拥有一系列功能，从侦察到在受感染环境中横向移动，显着扩大了攻击范围。