GootBot zlonamjerni softver

Stručnjaci za kibernetičku sigurnost identificirali su novu vrstu zlonamjernog softvera poznatu kao GootBot, koja pokazuje sposobnost olakšavanja bočnog kretanja unutar kompromitiranih sustava dok izmiče otkrivanju. Detaljna analiza ove prijetnje ukazuje da se navodno radi o novoj iteraciji izvedenoj iz prethodno otkrivenog malwarea GootLoader .

Značajno je da je grupa GootLoader strateški uvela ovog prilagođenog bota u kasnije faze svog tijeka napada u nastojanju da zaobiđe mehanizme detekcije, posebno kada koristi lako dostupne alate za naredbu i kontrolu (C2) kao što su CobaltStrike ili RDP. Ovu novonastalu varijantu karakterizira njezina lagana priroda, ali značajna učinkovitost, koja zlonamjernim akterima omogućuje širenje kroz mreže i brzo raspoređivanje dodatnih korisnih opterećenja.

GootLoader, kao što mu ime sugerira, specijaliziran je za preuzimanje zlonamjernog softvera u kasnijoj fazi nakon primamljivanja potencijalnih žrtava putem taktike trovanja optimizacijom za tražilice (SEO). Ova vrsta zlonamjernog softvera povezana je s akterom prijetnje poznatim kao Hive0127, također identificiran kao UNC2565 u zajednici kibernetičke sigurnosti.

Napadi zlonamjernog softvera GootBot mogu uključivati zatrovane rezultate pretraživanja

Otkrivene GootBot kampanje usvojile su novu strategiju koja uključuje rezultate pretraživanja zatrovane SEO-om koji se odnose na teme poput ugovora, pravnih obrazaca i drugih dokumenata povezanih s poslovanjem. Ovi manipulirani rezultati pretraživanja vode žrtve koje ništa ne sumnjaju na kompromitirane web stranice koje su genijalno dizajnirane da nalikuju legitimnim forumima. Ovdje su žrtve prevarene da preuzmu početni sadržaj koji je vješto skriven unutar arhivske datoteke. Ova arhivska datoteka sadrži skrivenu JavaScript datoteku koja, kada se aktivira, dohvaća drugu JavaScript datoteku. Ova druga datoteka se izvršava kroz planirani zadatak, osiguravajući njenu postojanost unutar ugroženog sustava.

Korištenje GootBot-a označava značajan pomak u taktici. Umjesto da se oslanja na okvire nakon eksploatacije kao što je CobaltStrike, GootBot se koristi kao korisni teret nakon infekcije GootLoaderom.

GootBot je opisan kao maskirana PowerShell skripta s primarnom funkcijom povezivanja s ugroženom WordPress stranicom u svrhu naredbi i kontrole. Preko ove veze GootBot prima daljnje upute, što dodatno usložnjava situaciju. Naime, svaki deponirani GootBot uzorak koristi poseban, tvrdo kodirani Command-and-Control (C2) poslužitelj, zbog čega je učinkovito blokiranje zlonamjernog mrežnog prometa teško.

Zlonamjerni softver GootBot može izvoditi razne invazivne funkcije na zaraženim uređajima

Tijekom druge faze lanca napada, JavaScript komponenta izvršava PowerShell skriptu sa svrhom prikupljanja informacija o sustavu i njihovog prijenosa na udaljeni poslužitelj. Kao odgovor, udaljeni poslužitelj šalje PowerShell skriptu koja radi u stalnoj petlji, pružajući akteru prijetnje mogućnost distribucije različitih korisnih opterećenja.

Jedan od tih korisnih opterećenja je GootBot, koji održava redovitu komunikaciju sa svojim Command-and-Control (C2) poslužiteljem, dopirući svakih 60 sekundi kako bi primio PowerShell zadatke za izvršenje i odašiljao rezultate putem HTTP POST zahtjeva.

GootBot se može pohvaliti nizom mogućnosti, od provođenja izviđanja do omogućavanja bočnog kretanja unutar okruženja, učinkovito proširujući opseg napada.

Pojava ove GootBot varijante naglašava opsežne mjere koje su akteri prijetnji spremni poduzeti kako bi izbjegli otkrivanje i djelovali tajno. Ovaj pomak u taktici, tehnikama i alatima značajno povećava rizik povezan s uspješnim fazama nakon iskorištavanja, posebno onima koji se odnose na pridružene aktivnosti ransomwarea povezane s GootLoaderom.