Gootbot Malware
Els experts en ciberseguretat han identificat una nova soca de programari maliciós coneguda com a GootBot, que mostra la capacitat de facilitar el moviment lateral dins dels sistemes compromesos alhora que evita la detecció. Una anàlisi detallada d'aquesta amenaça indica que aparentment es tracta d'una nova iteració derivada del programari maliciós GootLoader descobert anteriorment.
Significativament, el grup GootLoader ha introduït estratègicament aquest bot personalitzat a les etapes posteriors del seu flux de treball d'atac en un esforç per evitar els mecanismes de detecció, especialment quan s'utilitzen eines de comandament i control (C2) fàcilment disponibles com CobaltStrike o RDP. Aquesta nova variant emergent es caracteritza per la seva naturalesa lleugera però una eficàcia notable, que permet als actors maliciosos propagar-se a través de les xarxes i desplegar càrregues útils addicionals ràpidament.
GootLoader, com el seu nom indica, s'especialitza en la descàrrega de programari maliciós en fases posteriors després d'atraure víctimes potencials mitjançant tàctiques d'enverinament d'optimització de motors de cerca (SEO). Aquesta soca de programari maliciós s'ha associat amb un actor d'amenaça conegut com Hive0127, també identificat com a UNC2565 a la comunitat de ciberseguretat.
Els atacs de programari maliciós de GootBot poden implicar resultats de cerca enverinats
Les campanyes de GootBot descobertes han adoptat una nova estratègia que inclou resultats de cerca enverinats per SEO relacionats amb temes com contractes, formes legals i altres documents relacionats amb l'empresa. Aquests resultats de cerca manipulats condueixen a víctimes insospitades a llocs web compromesos que han estat dissenyats enginyosamente per semblar-se a fòrums legítims. Aquí, les víctimes són enganyades perquè baixin una càrrega útil inicial amagada intel·ligentment dins d'un fitxer d'arxiu. Aquest fitxer d'arxiu conté un fitxer JavaScript amagat que, quan s'activa, recupera un altre fitxer JavaScript. Aquest segon fitxer s'executa mitjançant una tasca programada, assegurant la seva persistència dins del sistema compromès.
La utilització de GootBot significa un canvi notable en les tàctiques. En lloc de confiar en marcs de post-explotació com CobaltStrike, GootBot s'utilitza com a càrrega útil després d'una infecció amb GootLoader.
GootBot es descriu com un script de PowerShell ofuscat amb la funció principal de connectar-se a un lloc de WordPress compromès amb finalitats de comandament i control. És a través d'aquesta connexió que GootBot rep instruccions addicionals, cosa que afegeix complexitat a la situació. En particular, cada mostra de GootBot dipositada utilitza un servidor de comandament i control (C2) diferent i codificat, el que fa que sigui difícil bloquejar el trànsit de xarxa maliciós de manera eficaç.
El programari maliciós GootBot pot realitzar diverses funcions invasives en dispositius infectats
Durant la segona etapa de la cadena d'atac, un component JavaScript executa un script de PowerShell amb la finalitat de recopilar informació del sistema i transmetre-la a un servidor remot. En resposta, el servidor remot envia un script de PowerShell que s'executa en un bucle constant, proporcionant a l'actor de l'amenaça la capacitat de distribuir diverses càrregues útils.
Una d'aquestes càrregues útils és GootBot, que manté una comunicació regular amb el seu servidor Command-and-Control (C2), arribant cada 60 segons per rebre tasques de PowerShell per executar-les i transmetre els resultats mitjançant sol·licituds HTTP POST.
GootBot compta amb una gamma de capacitats, des de realitzar reconeixements fins a permetre el moviment lateral dins de l'entorn, ampliant eficaçment l'abast de l'atac.
L'aparició d'aquesta variant de GootBot subratlla les mesures àmplies que els actors d'amenaça estan disposats a prendre per eludir la detecció i operar de manera encoberta. Aquest canvi de tàctiques, tècniques i eines eleva significativament el risc associat a les etapes posteriors a l'explotació d'èxit, especialment les relacionades amb les activitats d'afiliació de ransomware associades a GootLoader.
