GootBot злонамерен софтуер
Експерти по киберсигурност са идентифицирали нов вид злонамерен софтуер, известен като GootBot, който показва способността да улеснява странично движение в рамките на компрометирани системи, като същевременно избягва откриването. Подробният анализ на тази заплаха показва, че тя е привидно нова итерация, получена от по-рано открития зловреден софтуер GootLoader .
Показателно е, че групата GootLoader стратегически въведе този персонализиран бот в по-късните етапи от работния процес на атаката в опит да заобиколи механизмите за откриване, особено когато използва лесно достъпни инструменти за командване и контрол (C2) като CobaltStrike или RDP. Този новопоявил се вариант се характеризира със своята лека природа, но забележителна ефикасност, позволявайки на злонамерените участници да се разпространяват през мрежи и да разгръщат допълнителни полезни товари бързо.
GootLoader, както подсказва името му, е специализиран в изтеглянето на последващ етап на злонамерен софтуер след привличане на потенциални жертви чрез тактики за отравяне на оптимизация за търсачки (SEO). Този вид зловреден софтуер е свързан със заплаха, известна като Hive0127, идентифицирана също като UNC2565 в общността за киберсигурност.
Атаките на злонамерен софтуер GootBot може да включват отровени резултати от търсенето
Откритите кампании на GootBot са възприели нова стратегия, включваща отровени от SEO резултати от търсене, свързани с теми като договори, правни форми и други документи, свързани с бизнеса. Тези манипулирани резултати от търсене водят нищо неподозиращите жертви до компрометирани уебсайтове, които са гениално проектирани да приличат на законни форуми. Тук жертвите са измамени да изтеглят първоначален полезен товар, умело скрит в архивен файл. Този архивен файл съдържа скрит JavaScript файл, който при активиране извлича друг JavaScript файл. Този втори файл се изпълнява чрез планирана задача, като се гарантира неговата устойчивост в рамките на компрометираната система.
Използването на GootBot означава забележителна промяна в тактиката. Вместо да разчита на рамки след експлоатация като CobaltStrike, GootBot се използва като полезен товар след инфекция с GootLoader.
GootBot се описва като обфусциран скрипт на PowerShell с основната функция за свързване към компрометиран сайт на WordPress за командни и контролни цели. Именно чрез тази връзка GootBot получава допълнителни инструкции, добавяйки сложност към ситуацията. За отбелязване е, че всяка депозирана проба на GootBot използва отделен, твърдо кодиран сървър за командване и управление (C2), което прави предизвикателство ефективното блокиране на злонамерен мрежов трафик.
Зловреден софтуер GootBot може да изпълнява различни инвазивни функции на заразени устройства
По време на втория етап от веригата на атака, JavaScript компонент изпълнява PowerShell скрипт с цел събиране на системна информация и предаването й на отдалечен сървър. В отговор отдалеченият сървър изпраща PowerShell скрипт, който работи в постоянен цикъл, предоставяйки на заплахата актьора възможността да разпределя различни полезни натоварвания.
Един от тези полезни натоварвания е GootBot, който поддържа редовна комуникация със своя Command-and-Control (C2) сървър, достигайки на всеки 60 секунди, за да получи PowerShell задачи за изпълнение и предаване на резултатите чрез HTTP POST заявки.
GootBot може да се похвали с набор от възможности, от провеждане на разузнаване до позволяване на странично движение в околната среда, като ефективно разширява обхвата на атаката.
Появата на този вариант на GootBot подчертава обширните мерки, които заплахите са готови да предприемат, за да избегнат откриването и да действат тайно. Тази промяна в тактиките, техниките и инструментите значително повишава риска, свързан с успешните етапи след експлоатацията, особено тези, свързани с свързаните с GootLoader дейности на филиали на ransomware.
