Malware GootBot

Odborníci na kybernetickou bezpečnost identifikovali nový kmen malwaru známý jako GootBot, který vykazuje schopnost usnadnit boční pohyb v kompromitovaných systémech a přitom uniknout detekci. Podrobná analýza této hrozby ukazuje, že se zdánlivě jedná o novou iteraci odvozenou od dříve objeveného malwaru GootLoader .

Je příznačné, že skupina GootLoader strategicky zavedla tohoto vlastního robota do pozdějších fází jejich pracovního postupu při útoku ve snaze obejít detekční mechanismy, zejména při použití snadno dostupných nástrojů Command-and-Control (C2), jako je CobaltStrike nebo RDP. Tato nově vznikající varianta se vyznačuje svou lehkostí, ale pozoruhodnou účinností, která umožňuje zlomyslným aktérům šířit se sítěmi a rychle nasazovat další užitečné zatížení.

GootLoader, jak jeho název napovídá, se specializuje na stahování následného malwaru poté, co naláká potenciální oběti pomocí otravné taktiky optimalizace pro vyhledávače (SEO). Tento kmen malwaru byl spojován s aktérem hrozeb známým jako Hive0127, který je v komunitě kybernetické bezpečnosti také označen jako UNC2565.

Malwarové útoky GootBot mohou zahrnovat otrávené výsledky vyhledávání

Objevené kampaně GootBot přijaly novou strategii zahrnující výsledky vyhledávání otrávené SEO související s tématy, jako jsou smlouvy, právní formy a další dokumenty související s podnikáním. Tyto zmanipulované výsledky vyhledávání vedou nic netušící oběti na kompromitované webové stránky, které byly důmyslně navrženy tak, aby připomínaly legitimní fóra. Zde jsou oběti oklamány, aby si stáhly počáteční užitečné zatížení chytře skryté v archivním souboru. Tento archivní soubor obsahuje skrytý soubor JavaScript, který po aktivaci načte jiný soubor JavaScript. Tento druhý soubor je spouštěn prostřednictvím naplánované úlohy, což zajišťuje jeho přetrvávání v napadeném systému.

Využití GootBot znamená významný posun v taktice. Namísto spoléhání se na rámce po exploataci, jako je CobaltStrike, se GootBot používá jako užitečné zatížení po infekci GootLoader.

GootBot je popsán jako zmatený skript PowerShell s primární funkcí připojení k ohroženému webu WordPress pro účely příkazů a řízení. Prostřednictvím tohoto připojení dostává GootBot další pokyny, které situaci komplikují. Je pozoruhodné, že každý uložený vzorek GootBot využívá odlišný, pevně zakódovaný server Command-and-Control (C2), takže je náročné efektivně blokovat škodlivý síťový provoz.

Malware GootBot může na infikovaných zařízeních provádět různé invazivní funkce

Během druhé fáze řetězce útoků komponenta JavaScriptu spustí skript PowerShell za účelem shromáždit systémové informace a přenést je na vzdálený server. V reakci na to vzdálený server odešle skript PowerShell, který běží v konstantní smyčce a poskytuje aktérovi hrozby možnost distribuovat různé užitečné zatížení.

Jednou z těchto užitečných zátěží je GootBot, který udržuje pravidelnou komunikaci se svým serverem Command-and-Control (C2) a každých 60 sekund přijímá úkoly PowerShellu pro provedení a přenáší výsledky prostřednictvím požadavků HTTP POST.

GootBot se může pochlubit řadou schopností, od provádění průzkumu až po umožnění bočního pohybu v prostředí, čímž se účinně rozšiřuje rozsah útoku.

Vznik této varianty GootBot podtrhuje rozsáhlá opatření, která jsou aktéři hrozeb ochotni přijmout, aby unikli odhalení a fungovali skrytě. Tento posun v taktice, technikách a nástrojích výrazně zvyšuje riziko spojené s úspěšnými fázemi po vykořisťování, zejména s těmi, které souvisí s aktivitami přidružených ransomwaru souvisejícími s GootLoaderem.