Gootbot Malware

Küberturvalisuse eksperdid on tuvastanud uudse pahavara tüve, mida nimetatakse GootBotiks ja millel on võime hõlbustada külgsuunalist liikumist ohustatud süsteemides, vältides samas tuvastamist. Selle ohu üksikasjalik analüüs näitab, et tegemist on ilmselt uue iteratsiooniga, mis on tuletatud varem avastatud GootLoaderi pahavarast.

Märkimisväärne on see, et GootLoaderi grupp on selle kohandatud roboti strateegiliselt juurutanud oma rünnaku töövoo hilisematesse etappidesse, et vältida tuvastamismehhanisme, eriti kui kasutatakse hõlpsasti kättesaadavaid käsu-ja juhtimise (C2) tööriistu, nagu CobaltStrike või RDP. Seda äsja esilekerkinud varianti iseloomustab selle kerge olemus, kuid tähelepanuväärne tõhusus, mis võimaldab pahatahtlikel osalejatel võrkude kaudu levida ja lisakoormust kiiresti kasutusele võtta.

GootLoader, nagu nimigi ütleb, on spetsialiseerunud järgmise etapi pahavara allalaadimisele pärast potentsiaalsete ohvrite meelitamist otsingumootori optimeerimise (SEO) mürgistustaktika abil. Seda pahavara tüve on seostatud ohuteguriga, mida tuntakse nime all Hive0127 ja mida küberturvalisuse kogukonnas tuntakse ka kui UNC2565.

GootBoti pahavara rünnakud võivad hõlmata mürgitatud otsingutulemusi

Avastatud GootBoti kampaaniad on võtnud kasutusele uue strateegia, mis hõlmab SEO-mürgitusega otsingutulemusi, mis on seotud selliste teemadega nagu lepingud, juriidilised vormid ja muud ettevõtlusega seotud dokumendid. Need manipuleeritud otsingutulemused viivad pahaaimamatud ohvrid ohustatud veebisaitidele, mis on geniaalselt kujundatud seaduslike foorumite sarnaseks. Siin petetakse ohvreid, et nad laadivad alla esialgse kasuliku koorma, mis on nutikalt arhiivifailis peidetud. See arhiivifail sisaldab peidetud JavaScripti faili, mis aktiveerimisel hangib teise JavaScripti faili. See teine fail käivitatakse ajastatud ülesande kaudu, tagades selle püsimise ohustatud süsteemis.

GootBoti kasutamine tähendab märkimisväärset nihet taktikas. Selle asemel, et tugineda kasutusjärgsetele raamistikele nagu CobaltStrike, kasutatakse GootBotit pärast GootLoaderi nakatumist kasuliku koormana.

GootBotit kirjeldatakse kui hägustatud PowerShelli skripti, mille peamine ülesanne on käsu- ja kontrollieesmärkidel ühenduda ohustatud WordPressi saidiga. Just selle ühenduse kaudu saab GootBot täiendavaid juhiseid, mis muudab olukorra keerukamaks. Eelkõige kasutab iga salvestatud GootBoti näidis eraldiseisvat, kõvakodeeritud käsu- ja juhtimisserverit (C2), mis muudab pahatahtliku võrguliikluse tõhusa blokeerimise keeruliseks.

GootBoti pahavara võib nakatunud seadmetes täita mitmesuguseid invasiivseid funktsioone

Rünnakuahela teises etapis käivitab JavaScripti komponent PowerShelli skripti, mille eesmärk on koguda süsteemiteavet ja edastada see kaugserverisse. Vastuseks saadab kaugserver PowerShelli skripti, mis töötab pidevas tsüklis, pakkudes ohus osalejale võimalust jaotada erinevaid kasulikke koormusi.

Üks neist kasulikest koormustest on GootBot, mis hoiab regulaarset sidet oma Command-and-Control (C2) serveriga, jõudes iga 60 sekundi järel PowerShelli ülesannete vastuvõtmiseks täitmiseks ja tulemuste edastamiseks HTTP POST-päringute kaudu.

GootBotil on mitmesuguseid võimalusi, alates luure läbiviimisest kuni keskkonnas külgsuunalise liikumise võimaldamiseni, laiendades tõhusalt rünnaku ulatust.

Selle GootBoti variandi esilekerkimine rõhutab ulatuslikke meetmeid, mida ohus osalejad on valmis võtma, et avastamisest kõrvale hiilida ja varjatult tegutseda. See nihe taktikas, tehnikas ja tööriistades suurendab märkimisväärselt riske, mis on seotud edukate kasutusjärgsete etappidega, eriti nendega, mis on seotud GootLoaderiga seotud lunavara sidusettevõtete tegevustega.