GootBot 惡意軟體以驚人的速度傳播

最近發現的 GootLoader 惡意軟體變體（稱為 GootBot）已被確定為一種工具，可以在受感染的系統中進行未經授權的移動並設法避免檢測。 IBM X-Force 的研究人員 Golo Mühr 和 Ole Villadsen 指出，GootLoader 組織在攻擊過程的後期引入了這種自訂機器人，以避免在使用 CobaltStrike 等常用命令和控制 (C2) 工具時被檢測到。或RDP 。

該惡意軟體的新版本既輕量又高效，使攻擊者能夠迅速滲透網路並引入額外的惡意負載。 GootLoader，顧名思義，是一種專門透過搜尋引擎優化（SEO）中毒技術吸引潛在受害者後下載後續階段惡意軟體的惡意軟體。它與一個名為 Hive0127（也稱為 UNC2565）的威脅行為者有關。

GootBot 的部署標誌著策略的改變，植入程式在 GootLoader 感染後作為有效負載進行交付，而不是依賴 CobaltStrike 等後利用框架。 GootBot 被描述為一個模糊的 PowerShell 腳本，旨在連接到受感染的 WordPress 網站以進行命令和控制，並接收進一步的指令。

GootBot 使用巧妙的技巧

使情況更加複雜的是每個 GootBot 實例都使用不同的硬編碼 C2 伺服器，這使得阻止惡意網路流量變得具有挑戰性。據觀察，目前的活動使用與合約、法律文件或其他業務相關內容等主題相關的 SEO 中毒搜尋結果，將受害者引導至看似合法論壇的受感染網站。在那裡，他們被欺騙以存檔文件的形式下載初始有效負載。該存檔文件包含一個模糊的 JavaScript 文件，該文件在執行時會檢索另一個 JavaScript 文件，並計劃作為持久性機制運行。

在第二階段，JavaScript 配置為執行 PowerShell 腳本，該腳本收集系統資訊並將其傳送至遠端伺服器。作為回報，伺服器以無限循環運行的 PowerShell 腳本回應，使威脅參與者能夠分發各種有效負載。其中包括 GootBot，它每 60 秒定期與其 C2 伺服器進行通信，以檢索和執行 PowerShell 任務，並透過 HTTP POST 請求將結果發送回伺服器。

GootBot 擁有一系列功能，從偵察到在受感染環境中橫向移動，顯著擴大了攻擊範圍。