Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό GootBot

Κακόβουλο λογισμικό GootBot

Μέχρι το Mezo το Malware, Advanced Persistent Threat (APT)
Μετάφραση σε:
Ελληνικά

Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νέο στέλεχος κακόβουλου λογισμικού γνωστό ως GootBot, το οποίο εμφανίζει την ικανότητα να διευκολύνει την πλευρική κίνηση μέσα σε παραβιασμένα συστήματα, ενώ διαφεύγει τον εντοπισμό. Μια λεπτομερής ανάλυση αυτής της απειλής δείχνει ότι είναι φαινομενικά μια νέα επανάληψη που προέρχεται από το κακόβουλο λογισμικό GootLoader που ανακαλύφθηκε προηγουμένως.

Είναι σημαντικό ότι η ομάδα GootLoader έχει εισαγάγει στρατηγικά αυτό το προσαρμοσμένο bot στα τελευταία στάδια της ροής εργασιών επίθεσης σε μια προσπάθεια να παρακάμψει τους μηχανισμούς ανίχνευσης, ειδικά όταν χρησιμοποιεί άμεσα διαθέσιμα εργαλεία Command-and-Control (C2) όπως το CobaltStrike ή το RDP. Αυτή η πρόσφατα αναδυόμενη παραλλαγή χαρακτηρίζεται από την ελαφριά φύση της αλλά αξιοσημείωτη αποτελεσματικότητα, επιτρέποντας στους κακόβουλους φορείς να διαδίδονται μέσω δικτύων και να αναπτύσσουν πρόσθετα ωφέλιμα φορτία γρήγορα.

Το GootLoader, όπως υποδηλώνει το όνομά του, ειδικεύεται στη λήψη κακόβουλου λογισμικού σε επόμενο στάδιο, αφού δελεάσει πιθανά θύματα μέσω τακτικών δηλητηρίασης βελτιστοποίησης μηχανών αναζήτησης (SEO). Αυτό το στέλεχος κακόβουλου λογισμικού έχει συσχετιστεί με έναν παράγοντα απειλής γνωστό ως Hive0127, ο οποίος επίσης προσδιορίζεται ως UNC2565 στην κοινότητα της κυβερνοασφάλειας.

Οι επιθέσεις κακόβουλου λογισμικού GootBot ενδέχεται να περιλαμβάνουν δηλητηριασμένα αποτελέσματα αναζήτησης

Οι καμπάνιες GootBot που ανακαλύφθηκαν έχουν υιοθετήσει μια νέα στρατηγική που περιλαμβάνει αποτελέσματα αναζήτησης δηλητηριασμένα με SEO που σχετίζονται με θέματα όπως συμβάσεις, νομικές φόρμες και άλλα έγγραφα που σχετίζονται με τις επιχειρήσεις. Αυτά τα παραποιημένα αποτελέσματα αναζήτησης οδηγούν ανυποψίαστα θύματα σε παραβιασμένους ιστότοπους που έχουν σχεδιαστεί έξυπνα για να μοιάζουν με νόμιμα φόρουμ. Εδώ, τα θύματα εξαπατούνται να κατεβάσουν ένα αρχικό ωφέλιμο φορτίο που κρύβεται έξυπνα σε ένα αρχείο αρχειοθέτησης. Αυτό το αρχείο αρχειοθέτησης περιέχει ένα κρυφό αρχείο JavaScript το οποίο, όταν ενεργοποιηθεί, ανακτά ένα άλλο αρχείο JavaScript. Αυτό το δεύτερο αρχείο εκτελείται μέσω μιας προγραμματισμένης εργασίας, διασφαλίζοντας την παραμονή του εντός του παραβιασμένου συστήματος.

Η χρήση του GootBot σημαίνει μια αξιοσημείωτη αλλαγή στην τακτική. Αντί να βασίζεται σε πλαίσια μετά την εκμετάλλευση, όπως το CobaltStrike, το GootBot χρησιμοποιείται ως ωφέλιμο φορτίο μετά από μόλυνση του GootLoader.

Το GootBot περιγράφεται ως ένα συγκεχυμένο σενάριο PowerShell με κύρια λειτουργία τη σύνδεση σε έναν παραβιασμένο ιστότοπο WordPress για σκοπούς εντολής και ελέγχου. Είναι μέσω αυτής της σύνδεσης που το GootBot λαμβάνει περαιτέρω οδηγίες, προσθέτοντας πολυπλοκότητα στην κατάσταση. Συγκεκριμένα, κάθε δείγμα GootBot που κατατίθεται χρησιμοποιεί έναν ξεχωριστό, σκληρά κωδικοποιημένο διακομιστή Command-and-Control (C2), καθιστώντας το δύσκολο να αποκλείσει αποτελεσματικά την επισκεψιμότητα κακόβουλου δικτύου.

Το κακόβουλο λογισμικό GootBot μπορεί να εκτελέσει διάφορες επεμβατικές λειτουργίες σε μολυσμένες συσκευές

Κατά το δεύτερο στάδιο της αλυσίδας επίθεσης, ένα στοιχείο JavaScript εκτελεί ένα σενάριο PowerShell με σκοπό τη συλλογή πληροφοριών συστήματος και τη μετάδοσή τους σε έναν απομακρυσμένο διακομιστή. Σε απόκριση, ο απομακρυσμένος διακομιστής στέλνει ένα σενάριο PowerShell που εκτελείται σε σταθερό βρόχο, παρέχοντας στον παράγοντα απειλής τη δυνατότητα να διανέμει διάφορα ωφέλιμα φορτία.

Ένα από αυτά τα ωφέλιμα φορτία είναι το GootBot, το οποίο διατηρεί τακτική επικοινωνία με τον διακομιστή Command-and-Control (C2), προσεγγίζοντας κάθε 60 δευτερόλεπτα για να λαμβάνει εργασίες PowerShell για εκτέλεση και μεταδίδοντας τα αποτελέσματα μέσω αιτημάτων HTTP POST.

Το GootBot μπορεί να υπερηφανεύεται για μια σειρά δυνατοτήτων, από τη διεξαγωγή αναγνώρισης έως τη δυνατότητα πλευρικής κίνησης εντός του περιβάλλοντος, επεκτείνοντας αποτελεσματικά το εύρος της επίθεσης.

Η εμφάνιση αυτής της παραλλαγής GootBot υπογραμμίζει τα εκτεταμένα μέτρα που είναι διατεθειμένοι να λάβουν οι φορείς απειλών για να αποφύγουν τον εντοπισμό και να λειτουργήσουν κρυφά. Αυτή η αλλαγή στις τακτικές, τις τεχνικές και τα εργαλεία αυξάνει σημαντικά τον κίνδυνο που σχετίζεται με επιτυχημένα στάδια μετά την εκμετάλλευση, ιδιαίτερα εκείνων που σχετίζονται με δραστηριότητες θυγατρικών ransomware που σχετίζονται με το GootLoader.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
21,166
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...