Gootbot Malware

साइबर सुरक्षा विशेषज्ञों ने गूटबॉट नामक एक नए मैलवेयर स्ट्रेन की पहचान की है, जो पहचान से बचते हुए समझौता किए गए सिस्टम के भीतर पार्श्व आंदोलन को सुविधाजनक बनाने की क्षमता प्रदर्शित करता है। इस खतरे का एक विस्तृत विश्लेषण इंगित करता है कि यह स्पष्ट रूप से पहले खोजे गए GootLoader मैलवेयर से प्राप्त एक नया पुनरावृत्ति है।

गौरतलब है कि GootLoader समूह ने रणनीतिक रूप से पहचान तंत्र को दरकिनार करने के प्रयास में इस कस्टम बॉट को अपने हमले वर्कफ़्लो के बाद के चरणों में पेश किया है, खासकर जब CobaltStrike या आरडीपी जैसे आसानी से उपलब्ध कमांड-एंड-कंट्रोल (सी 2) टूल को नियोजित करते हैं। इस नए उभरते संस्करण की विशेषता इसकी हल्की प्रकृति लेकिन उल्लेखनीय प्रभावकारिता है, जो दुर्भावनापूर्ण अभिनेताओं को नेटवर्क के माध्यम से प्रचार करने और अतिरिक्त पेलोड को तेजी से तैनात करने में सक्षम बनाता है।

GootLoader, जैसा कि इसके नाम से पता चलता है, खोज इंजन अनुकूलन (एसईओ) विषाक्तता रणनीति के माध्यम से संभावित पीड़ितों को लुभाने के बाद अगले चरण के मैलवेयर को डाउनलोड करने में माहिर है। यह मैलवेयर स्ट्रेन Hive0127 नामक एक ख़तरनाक अभिनेता के साथ जुड़ा हुआ है, जिसे साइबर सुरक्षा समुदाय में UNC2565 के रूप में भी पहचाना जाता है।

GootBot मैलवेयर हमलों में जहरीले खोज परिणाम शामिल हो सकते हैं

खोजे गए GootBot अभियानों ने एक नई रणनीति अपनाई है जिसमें अनुबंध, कानूनी प्रपत्र और अन्य व्यवसाय-संबंधी दस्तावेज़ जैसे विषयों से संबंधित SEO-विषाक्त खोज परिणाम शामिल हैं। ये हेरफेर किए गए खोज परिणाम बिना सोचे-समझे पीड़ितों को उन समझौताशुदा वेबसाइटों की ओर ले जाते हैं जिन्हें वैध मंचों से मिलते-जुलते ढंग से डिजाइन किया गया है। यहां, पीड़ितों को एक संग्रह फ़ाइल में चतुराई से छिपाए गए प्रारंभिक पेलोड को डाउनलोड करने के लिए धोखा दिया जाता है। इस संग्रह फ़ाइल में एक छिपी हुई जावास्क्रिप्ट फ़ाइल है, जो सक्रिय होने पर, एक और जावास्क्रिप्ट फ़ाइल पुनर्प्राप्त करती है। यह दूसरी फ़ाइल एक निर्धारित कार्य के माध्यम से निष्पादित की जाती है, जिससे समझौता किए गए सिस्टम के भीतर इसकी दृढ़ता सुनिश्चित होती है।

GootBot का उपयोग रणनीति में एक उल्लेखनीय बदलाव का प्रतीक है। कोबाल्टस्ट्राइक जैसे शोषण के बाद के ढांचे पर भरोसा करने के बजाय, GootLoader संक्रमण के बाद GootBot को पेलोड के रूप में नियोजित किया जाता है।

GootBot को कमांड और नियंत्रण उद्देश्यों के लिए एक समझौता किए गए वर्डप्रेस साइट से कनेक्ट करने के प्राथमिक कार्य के साथ एक अस्पष्ट पावरशेल स्क्रिप्ट के रूप में वर्णित किया गया है। यह इस कनेक्शन के माध्यम से है कि GootBot को आगे के निर्देश प्राप्त होते हैं, जिससे स्थिति में जटिलता बढ़ जाती है। विशेष रूप से, प्रत्येक जमा किया गया GootBot नमूना एक अलग, हार्ड-कोडेड कमांड-एंड-कंट्रोल (C2) सर्वर को नियोजित करता है, जिससे दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को प्रभावी ढंग से ब्लॉक करना चुनौतीपूर्ण हो जाता है।

GootBot मैलवेयर संक्रमित उपकरणों पर विभिन्न आक्रामक कार्य कर सकता है

हमले की श्रृंखला के दूसरे चरण के दौरान, एक जावास्क्रिप्ट घटक सिस्टम जानकारी एकत्र करने और इसे दूरस्थ सर्वर पर प्रसारित करने के उद्देश्य से एक पावरशेल स्क्रिप्ट निष्पादित करता है। जवाब में, रिमोट सर्वर एक पॉवरशेल स्क्रिप्ट भेजता है जो एक निरंतर लूप में चलती है, जो खतरे वाले अभिनेता को विभिन्न पेलोड वितरित करने की क्षमता प्रदान करती है।

इनमें से एक पेलोड GootBot है, जो अपने कमांड-एंड-कंट्रोल (C2) सर्वर के साथ नियमित संचार बनाए रखता है, निष्पादन के लिए PowerShell कार्यों को प्राप्त करने और HTTP POST अनुरोधों के माध्यम से परिणामों को प्रसारित करने के लिए हर 60 सेकंड में पहुंचता है।

GootBot टोही करने से लेकर पर्यावरण के भीतर पार्श्व आंदोलन को सक्षम करने और हमले के दायरे को प्रभावी ढंग से विस्तारित करने तक कई प्रकार की क्षमताओं का दावा करता है।

इस GootBot वैरिएंट का उद्भव उन व्यापक उपायों को रेखांकित करता है जो खतरे वाले अभिनेता पहचान से बचने और गुप्त रूप से काम करने के लिए तैयार हैं। रणनीति, तकनीक और टूलींग में यह बदलाव सफल पोस्ट-शोषण चरणों से जुड़े जोखिम को काफी हद तक बढ़ा देता है, विशेष रूप से गूटलोडर से संबंधित रैंसमवेयर संबद्ध गतिविधियों से संबंधित।