البرامج الضارة GootBot

حدد خبراء الأمن السيبراني سلالة جديدة من البرامج الضارة تُعرف باسم GootBot، والتي تُظهر القدرة على تسهيل الحركة الجانبية داخل الأنظمة المخترقة مع التملص من اكتشافها. يشير التحليل التفصيلي لهذا التهديد إلى أنه ظاهريًا تكرار جديد مشتق من البرنامج الضار GootLoader الذي تم اكتشافه مسبقًا.

ومن الجدير بالذكر أن مجموعة GootLoader قد أدخلت هذا الروبوت المخصص بشكل استراتيجي في المراحل اللاحقة من سير عمل الهجوم الخاص بهم في محاولة للتحايل على آليات الكشف، خاصة عند استخدام أدوات القيادة والتحكم (C2) المتاحة بسهولة مثل CobaltStrike أو RDP. ويتميز هذا البديل الناشئ حديثًا بطبيعته خفيفة الوزن ولكن بفعاليته الجديرة بالملاحظة، مما يمكّن الجهات الفاعلة الخبيثة من الانتشار عبر الشبكات ونشر حمولات إضافية بسرعة.

GootLoader، كما يوحي اسمه، متخصص في تنزيل البرامج الضارة في المرحلة اللاحقة بعد إغراء الضحايا المحتملين من خلال تكتيكات تحسين محركات البحث (SEO). ارتبطت سلالة البرامج الضارة هذه بممثل تهديد يُعرف باسم Hive0127، والذي تم تحديده أيضًا باسم UNC2565 في مجتمع الأمن السيبراني.

قد تتضمن هجمات البرامج الضارة GootBot نتائج بحث مسمومة

اعتمدت حملات GootBot المكتشفة استراتيجية جديدة تتضمن نتائج بحث مسمومة بتحسين محركات البحث (SEO) تتعلق بموضوعات مثل العقود والأشكال القانونية والمستندات الأخرى المتعلقة بالأعمال. تؤدي نتائج البحث التي تم التلاعب بها إلى توجيه الضحايا المطمئنين إلى مواقع الويب المخترقة التي تم تصميمها ببراعة لتشبه المنتديات الشرعية. وهنا، يتم خداع الضحايا وحملهم على تنزيل حمولة أولية مخفية بذكاء داخل ملف أرشيف. يحتوي ملف الأرشيف هذا على ملف JavaScript مخفي، والذي، عند تنشيطه، يسترد ملف JavaScript آخر. يتم تنفيذ هذا الملف الثاني من خلال مهمة مجدولة، مما يضمن استمراره داخل النظام المخترق.

يشير استخدام GootBot إلى تحول ملحوظ في التكتيكات. بدلاً من الاعتماد على أطر عمل ما بعد الاستغلال مثل CobaltStrike، يتم استخدام GootBot كحمولة بعد إصابة GootLoader.

يوصف GootBot بأنه برنامج نصي PowerShell غامض مع الوظيفة الأساسية المتمثلة في الاتصال بموقع WordPress المخترق لأغراض القيادة والتحكم. ومن خلال هذا الاتصال يتلقى GootBot مزيدًا من التعليمات، مما يزيد الوضع تعقيدًا. ومن الجدير بالذكر أن كل عينة من GootBot يتم إيداعها تستخدم خادمًا مميزًا ومميزًا للتحكم والتحكم (C2)، مما يجعل من الصعب حظر حركة مرور الشبكة الضارة بشكل فعال.

يمكن للبرامج الضارة GootBot تنفيذ وظائف غزوية مختلفة على الأجهزة المصابة

خلال المرحلة الثانية من سلسلة الهجوم، يقوم مكون JavaScript بتنفيذ برنامج PowerShell النصي بغرض جمع معلومات النظام ونقلها إلى خادم بعيد. ردًا على ذلك، يرسل الخادم البعيد برنامج PowerShell النصي الذي يعمل في حلقة ثابتة، مما يوفر لمنفذ التهديد القدرة على توزيع حمولات مختلفة.

إحدى هذه الحمولات هي GootBot، التي تحافظ على اتصال منتظم مع خادم القيادة والتحكم (C2)، حيث تصل كل 60 ثانية لتلقي مهام PowerShell للتنفيذ وإرسال النتائج عبر طلبات HTTP POST.

يتميز GootBot بمجموعة من القدرات، بدءًا من إجراء الاستطلاع وحتى تمكين الحركة الجانبية داخل البيئة، مما يؤدي إلى توسيع نطاق الهجوم بشكل فعال.

ويؤكد ظهور متغير GootBot هذا على التدابير الشاملة التي يرغب ممثلو التهديد في اتخاذها لتفادي الكشف والعمل سراً. يؤدي هذا التحول في التكتيكات والتقنيات والأدوات إلى زيادة المخاطر المرتبطة بمراحل ما بعد الاستغلال الناجحة بشكل كبير، لا سيما تلك المتعلقة بالأنشطة التابعة لبرامج الفدية المرتبطة بـ GootLoader.