GootBot 恶意软件以惊人的速度传播
最近发现的 GootLoader 恶意软件变体(称为 GootBot)已被确定为一种工具,可以在受感染的系统中进行未经授权的移动并设法避免检测。 IBM X-Force 的研究人员 Golo Mühr 和 Ole Villadsen 指出,GootLoader 组织在攻击过程的后期引入了这种自定义机器人,以避免在使用 CobaltStrike 等常用命令和控制 (C2) 工具时被检测到。或 RDP。
该恶意软件的新版本既轻量又高效,使攻击者能够迅速渗透网络并引入额外的恶意负载。 GootLoader,顾名思义,是一种专门通过搜索引擎优化(SEO)中毒技术吸引潜在受害者后下载后续阶段恶意软件的恶意软件。它与一个名为 Hive0127(也称为 UNC2565)的威胁行为者有关。
GootBot 的部署标志着策略的改变,植入程序在 GootLoader 感染后作为有效负载进行交付,而不是依赖于 CobaltStrike 等后利用框架。 GootBot 被描述为一个模糊的 PowerShell 脚本,旨在连接到受感染的 WordPress 网站以进行命令和控制,并接收进一步的指令。
GootBot 使用巧妙的技巧
使情况更加复杂的是每个 GootBot 实例都使用不同的硬编码 C2 服务器,这使得阻止恶意网络流量变得具有挑战性。据观察,当前的活动使用与合同、法律文件或其他业务相关内容等主题相关的 SEO 中毒搜索结果,将受害者引导至看似合法论坛的受感染网站。在那里,他们被欺骗以存档文件的形式下载初始有效负载。该存档文件包含一个模糊的 JavaScript 文件,该文件在执行时会检索另一个 JavaScript 文件,并计划作为持久性机制运行。
在第二阶段,JavaScript 配置为执行 PowerShell 脚本,该脚本收集系统信息并将其发送到远程服务器。作为回报,服务器以无限循环运行的 PowerShell 脚本进行响应,使威胁参与者能够分发各种有效负载。其中包括 GootBot,它每 60 秒定期与其 C2 服务器进行通信,以检索和执行 PowerShell 任务,并通过 HTTP POST 请求将结果发送回服务器。
GootBot 拥有一系列功能,从侦察到在受感染环境中横向移动,显着扩大了攻击范围。