GootBot-haittaohjelma

Kyberturvallisuusasiantuntijat ovat tunnistaneet uuden haittaohjelmakannan, joka tunnetaan nimellä GootBot, joka pystyy helpottamaan sivuttaisliikettä vaarantuneissa järjestelmissä ja välttymään havaitsemisesta. Tämän uhan yksityiskohtainen analyysi osoittaa, että se on näennäisesti uusi iteraatio, joka on johdettu aiemmin löydetystä GootLoader -haittaohjelmasta.

Merkittävää on, että GootLoader-ryhmä on ottanut tämän mukautetun botin strategisesti käyttöön hyökkäystyönsä myöhemmissä vaiheissa pyrkiessään kiertämään tunnistusmekanismeja, erityisesti käytettäessä helposti saatavilla olevia Command-and-Control (C2) -työkaluja, kuten CobaltStrike tai RDP. Tälle äskettäin syntyneelle versiolle on tunnusomaista sen kevyt luonne, mutta huomionarvoinen tehokkuus, mikä mahdollistaa haitallisten toimijoiden leviämisen verkkojen kautta ja lisähyötykuormien nopean käyttöönoton.

GootLoader on nimensä mukaisesti erikoistunut seuraavan vaiheen haittaohjelmien lataamiseen houkutettuaan mahdollisia uhreja hakukoneoptimoinnin (SEO) myrkytystaktiikoilla. Tämä haittaohjelmakanta on liitetty uhkatekijään, joka tunnetaan nimellä Hive0127, joka on myös tunnistettu UNC2565:ksi kyberturvallisuusyhteisössä.

GootBot-haittaohjelmahyökkäykset voivat sisältää myrkyllisiä hakutuloksia

Löydetyt GootBot-kampanjat ovat ottaneet käyttöön uuden strategian, joka sisältää SEO-myrkyttömiä hakutuloksia, jotka liittyvät aiheisiin, kuten sopimuksiin, juridisiin muotoihin ja muihin liiketoimintaan liittyviin asiakirjoihin. Nämä manipuloidut hakutulokset johtavat pahaa-aavistamattomat uhrit vaarantuneille verkkosivustoille, jotka on nerokkaasti suunniteltu muistuttamaan laillisia foorumeita. Tässä uhrit huijataan lataamaan alkuperäinen hyötykuorma, joka on taitavasti piilotettu arkistotiedostoon. Tämä arkistotiedosto sisältää piilotetun JavaScript-tiedoston, joka aktivoituna hakee toisen JavaScript-tiedoston. Tämä toinen tiedosto suoritetaan ajoitetun tehtävän kautta, mikä varmistaa sen pysyvyyden vaarantuneessa järjestelmässä.

GootBotin käyttö merkitsee huomattavaa taktiikkamuutosta. Sen sijaan, että luottaisi CobaltStriken kaltaisiin hyväksikäytön jälkeisiin kehyksiin, GootBotia käytetään hyötykuormana GootLoader-tartunnan jälkeen.

GootBot on kuvattu hämäräksi PowerShell-skriptiksi, jonka ensisijaisena tehtävänä on muodostaa yhteys vaarantuneeseen WordPress-sivustoon komento- ja ohjaustarkoituksiin. Tämän yhteyden kautta GootBot saa lisäohjeita, mikä lisää tilanteen monimutkaisuutta. Erityisesti jokainen tallennettu GootBot-näyte käyttää erillistä, kovakoodattua Command-and-Control (C2) -palvelinta, mikä tekee siitä haastavaa estää haitallisen verkkoliikenteen tehokkaasti.

GootBot-haittaohjelma voi suorittaa erilaisia invasiivisia toimintoja tartunnan saaneilla laitteilla

Hyökkäysketjun toisessa vaiheessa JavaScript-komponentti suorittaa PowerShell-komentosarjan, jonka tarkoituksena on kerätä järjestelmätietoja ja lähettää ne etäpalvelimelle. Vastauksena etäpalvelin lähettää PowerShell-komentosarjan, joka toimii jatkuvassa silmukassa ja tarjoaa uhkatoimijalle mahdollisuuden jakaa erilaisia hyötykuormia.

Yksi näistä hyötykuormista on GootBot, joka ylläpitää säännöllistä kommunikaatiota Command-and-Control (C2) -palvelimensa kanssa ja ottaa yhteyttä 60 sekunnin välein vastaanottaakseen PowerShell-tehtäviä suoritettaviksi ja lähettää tulokset HTTP POST -pyyntöjen kautta.

GootBotilla on useita ominaisuuksia tiedustelujen suorittamisesta sivuttaisliikkeen mahdollistamiseen ympäristössä, mikä laajentaa tehokkaasti hyökkäyksen laajuutta.

Tämän GootBot-muunnelman ilmaantuminen korostaa niitä laajoja toimenpiteitä, joihin uhkatoimijat ovat valmiita välttämään havaitsemisen ja toimimaan piilossa. Tämä muutos taktiikoissa, tekniikoissa ja työkaluissa lisää merkittävästi riskiä, joka liittyy onnistuneisiin hyväksikäytön jälkeisiin vaiheisiin, erityisesti niihin, jotka liittyvät GootLoaderiin liittyviin kiristysohjelmien kumppanitoimintoihin.