GootBot Malware
Cybersikkerhedseksperter har identificeret en ny malware-stamme kendt som GootBot, som udviser evnen til at lette sideværts bevægelse inden for kompromitterede systemer, mens den undgår registrering. En detaljeret analyse af denne trussel indikerer, at det tilsyneladende er en ny iteration afledt af den tidligere opdagede GootLoader -malware.
Det er væsentligt, at GootLoader-gruppen strategisk har introduceret denne brugerdefinerede bot i de senere stadier af deres angrebsarbejdsgang i et forsøg på at omgå detektionsmekanismer, især når de anvender let tilgængelige Command-and-Control (C2) værktøjer som CobaltStrike eller RDP. Denne nyligt opståede variant er kendetegnet ved sin lette natur, men bemærkelsesværdige effektivitet, der gør det muligt for ondsindede aktører at forplante sig gennem netværk og implementere yderligere nyttelast hurtigt.
GootLoader, som navnet antyder, har specialiseret sig i at downloade malware i efterfølgende trin efter at have lokket potentielle ofre gennem søgemaskineoptimering (SEO) forgiftningstaktik. Denne malware-stamme er blevet forbundet med en trusselsaktør kendt som Hive0127, også identificeret som UNC2565 i cybersikkerhedssamfundet.
GootBot-malwareangrebene kan involvere forgiftede søgeresultater
De opdagede GootBot-kampagner har vedtaget en ny strategi, der involverer SEO-forgiftede søgeresultater relateret til emner som kontrakter, juridiske former og andre forretningsrelaterede dokumenter. Disse manipulerede søgeresultater fører intetanende ofre til kompromitterede websteder, der er genialt designet til at ligne legitime fora. Her bliver ofre bedraget til at downloade en indledende nyttelast, der er smart skjult i en arkivfil. Denne arkivfil indeholder en skjult JavaScript-fil, der, når den er aktiveret, henter en anden JavaScript-fil. Denne anden fil udføres gennem en planlagt opgave, der sikrer dens vedholdenhed i det kompromitterede system.
Brugen af GootBot betyder et bemærkelsesværdigt skift i taktik. I stedet for at stole på post-udnyttelsesrammer som CobaltStrike, bruges GootBot som en nyttelast efter en GootLoader-infektion.
GootBot beskrives som et sløret PowerShell-script med den primære funktion at oprette forbindelse til et kompromitteret WordPress-websted til kommando- og kontrolformål. Det er gennem denne forbindelse, at GootBot modtager yderligere instruktioner, hvilket tilføjer kompleksitet til situationen. Det er bemærkelsesværdigt, at hver deponeret GootBot-prøve anvender en særskilt, hårdkodet Command-and-Control-server (C2), hvilket gør det udfordrende at blokere ondsindet netværkstrafik effektivt.
GootBot-malwaren kan udføre forskellige invasive funktioner på inficerede enheder
Under anden fase af angrebskæden udfører en JavaScript-komponent et PowerShell-script med det formål at indsamle systemoplysninger og overføre dem til en ekstern server. Som svar sender fjernserveren et PowerShell-script, der kører i en konstant løkke, hvilket giver trusselsaktøren muligheden for at distribuere forskellige nyttelaster.
En af disse nyttelaster er GootBot, som opretholder regelmæssig kommunikation med sin Command-and-Control-server (C2), der rækker ud hvert 60. sekund for at modtage PowerShell-opgaver til udførelse og overførsel af resultaterne via HTTP POST-anmodninger.
GootBot kan prale af en række muligheder, fra at udføre rekognoscering til at muliggøre lateral bevægelse i miljøet, hvilket effektivt udvider omfanget af angrebet.
Fremkomsten af denne GootBot-variant understreger de omfattende foranstaltninger, som trusselsaktører er villige til at tage for at undgå opdagelse og operere skjult. Dette skift i taktik, teknikker og værktøj øger markant risikoen forbundet med vellykkede post-udnyttelsesstadier, især dem, der er relateret til GootLoader-associerede ransomware-tilknyttede aktiviteter.
