תוכנה זדונית של GootBot

מומחי אבטחת סייבר זיהו זן תוכנות זדוניות חדש המכונה GootBot, המציג את היכולת להקל על תנועה צידית בתוך מערכות שנפגעו תוך חומק מזיהוי. ניתוח מפורט של האיום הזה מצביע על כך שמדובר לכאורה באיטרציה חדשה שנגזרת מהתוכנה הזדונית GootLoader שהתגלתה בעבר.

באופן משמעותי, קבוצת GootLoader הציגה אסטרטגית את הבוט המותאם אישית הזה לשלבים המאוחרים יותר של זרימת העבודה של ההתקפה שלהם במאמץ לעקוף מנגנוני זיהוי, במיוחד בעת שימוש בכלי Command-and-Control (C2) זמינים כמו CobaltStrike או RDP. גרסה חדשה זו מתאפיינת באופי קל המשקל שלה אך ביעילות ראויה לציון, המאפשרת לשחקנים זדוניים להתפשט דרך רשתות ולפרוס מטענים נוספים במהירות.

GootLoader, כפי ששמה מרמז, מתמחה בהורדת תוכנות זדוניות בשלבים הבאים לאחר פיתוי קורבנות פוטנציאליים באמצעות טקטיקות הרעלת אופטימיזציה למנועי חיפוש (SEO). זן תוכנות זדוניות זה נקשר עם שחקן איום המכונה Hive0127, שזוהה גם כ-UNC2565 בקהילת אבטחת הסייבר.

התקפות תוכנה זדוניות של GootBot עשויות לכלול תוצאות חיפוש מורעלות

מסעות הפרסום של GootBot שהתגלו אימצו אסטרטגיה חדשה הכוללת תוצאות חיפוש מורעלות ב-SEO הקשורות לנושאים כמו חוזים, טפסים משפטיים ומסמכים אחרים הקשורים לעסקים. תוצאות החיפוש המופעלות הללו מובילות קורבנות תמימים לאתרי אינטרנט שנפגעו שעוצבו בצורה גאונית כדי להידמות לפורומים לגיטימיים. כאן, הקורבנות שולל כדי להוריד מטען ראשוני מוסתר בחוכמה בתוך קובץ ארכיון. קובץ ארכיון זה מכיל קובץ JavaScript נסתר שכאשר הוא מופעל, מאחזר קובץ JavaScript אחר. קובץ שני זה מבוצע באמצעות משימה מתוזמנת, מה שמבטיח את התמדה שלו בתוך המערכת שנפרצה.

השימוש ב-GootBot מסמל שינוי בולט בטקטיקה. במקום להסתמך על מסגרות שלאחר ניצול כמו CobaltStrike, GootBot מועסק כמטען בעקבות זיהום ב-GootLoader.

GootBot מתואר כסקריפט PowerShell מעורפל עם הפונקציה העיקרית של חיבור לאתר וורדפרס שנפגע למטרות פקודה ובקרה. באמצעות החיבור הזה GootBot מקבל הנחיות נוספות, מה שמוסיף מורכבות למצב. יש לציין כי כל דגימת GootBot שהופקדה מעסיקה שרת Command-and-Control (C2) מקודד ברור, מה שמקשה על חסימת תעבורת רשת זדונית ביעילות.

תוכנת GootBot זדונית יכולה לבצע פונקציות פולשניות שונות במכשירים נגועים

במהלך השלב השני של שרשרת ההתקפה, רכיב JavaScript מבצע סקריפט PowerShell במטרה לאסוף מידע מערכת ולשדר אותו לשרת מרוחק. בתגובה, השרת המרוחק שולח סקריפט PowerShell שרץ בלולאה קבועה, ומספק לשחקן האיום את היכולת להפיץ עומסים שונים.

אחד המטעמים הללו הוא GootBot, ששומר על תקשורת קבועה עם שרת ה-Command-and-Control (C2) שלו, ומושיט יד כל 60 שניות כדי לקבל משימות PowerShell לביצוע והעברת התוצאות באמצעות בקשות HTTP POST.

GootBot מתגאה במגוון של יכולות, החל מביצוע סיור ועד לאפשר תנועה צדדית בתוך הסביבה, להרחיב למעשה את היקף המתקפה.

הופעתה של גרסת GootBot זו מדגישה את האמצעים הנרחבים ששחקני איום מוכנים לנקוט כדי לחמוק מזיהוי ולפעול באופן סמוי. שינוי זה בטקטיקות, טכניקות וכלים מעלה באופן משמעותי את הסיכון הקשור בשלבים מוצלחים שלאחר הניצול, במיוחד אלה הקשורים לפעילויות שותפים של תוכנות כופר הקשורות ל-GootLoader.