GootBot 惡意軟體以驚人的速度傳播
最近發現的 GootLoader 惡意軟體變體(稱為 GootBot)已被確定為一種工具,可以在受感染的系統中進行未經授權的移動並設法避免檢測。 IBM X-Force 的研究人員 Golo Mühr 和 Ole Villadsen 指出,GootLoader 組織在攻擊過程的後期引入了這種自訂機器人,以避免在使用 CobaltStrike 等常用命令和控制 (C2) 工具時被檢測到。或RDP 。
該惡意軟體的新版本既輕量又高效,使攻擊者能夠迅速滲透網路並引入額外的惡意負載。 GootLoader,顧名思義,是一種專門透過搜尋引擎優化(SEO)中毒技術吸引潛在受害者後下載後續階段惡意軟體的惡意軟體。它與一個名為 Hive0127(也稱為 UNC2565)的威脅行為者有關。
GootBot 的部署標誌著策略的改變,植入程式在 GootLoader 感染後作為有效負載進行交付,而不是依賴 CobaltStrike 等後利用框架。 GootBot 被描述為一個模糊的 PowerShell 腳本,旨在連接到受感染的 WordPress 網站以進行命令和控制,並接收進一步的指令。
GootBot 使用巧妙的技巧
使情況更加複雜的是每個 GootBot 實例都使用不同的硬編碼 C2 伺服器,這使得阻止惡意網路流量變得具有挑戰性。據觀察,目前的活動使用與合約、法律文件或其他業務相關內容等主題相關的 SEO 中毒搜尋結果,將受害者引導至看似合法論壇的受感染網站。在那裡,他們被欺騙以存檔文件的形式下載初始有效負載。該存檔文件包含一個模糊的 JavaScript 文件,該文件在執行時會檢索另一個 JavaScript 文件,並計劃作為持久性機制運行。
在第二階段,JavaScript 配置為執行 PowerShell 腳本,該腳本收集系統資訊並將其傳送至遠端伺服器。作為回報,伺服器以無限循環運行的 PowerShell 腳本回應,使威脅參與者能夠分發各種有效負載。其中包括 GootBot,它每 60 秒定期與其 C2 伺服器進行通信,以檢索和執行 PowerShell 任務,並透過 HTTP POST 請求將結果發送回伺服器。
GootBot 擁有一系列功能,從偵察到在受感染環境中橫向移動,顯著擴大了攻擊範圍。