GootBot Malware
A kiberbiztonsági szakértők egy új, GootBot néven ismert rosszindulatú programtörzset azonosítottak, amely képes megkönnyíteni az oldalirányú mozgást a veszélyeztetett rendszereken belül, miközben elkerüli az észlelést. A fenyegetés részletes elemzése azt jelzi, hogy ez feltehetően egy új iteráció, amely a korábban felfedezett GootLoader rosszindulatú programból származik.
Fontos, hogy a GootLoader csoport stratégiailag bevezette ezt az egyéni botot a támadási munkafolyamat későbbi szakaszaiba, hogy megkerülje az észlelési mechanizmusokat, különösen akkor, ha olyan könnyen elérhető Command-and-Control (C2) eszközöket használnak, mint a CobaltStrike vagy az RDP. Ezt az újonnan megjelenő változatot könnyű súlya, de figyelemre méltó hatékonysága jellemzi, amely lehetővé teszi a rosszindulatú szereplők számára, hogy hálózatokon keresztül terjedjenek, és további hasznos terheket gyorsan telepítsenek.
A GootLoader, ahogy a neve is sugallja, a következő fázisú rosszindulatú programok letöltésére specializálódott, miután keresőoptimalizálási (SEO) mérgezési taktikákkal csábította el a potenciális áldozatokat. Ez a rosszindulatú programtörzs egy Hive0127 néven ismert fenyegetést okozó szereplőhöz hozták összefüggésbe, amelyet a kiberbiztonsági közösség UNC2565 néven is azonosított.
A GootBot rosszindulatú támadásai mérgezett keresési eredményekkel járhatnak
A felfedezett GootBot kampányok új stratégiát fogadtak el, amely magában foglalja a SEO-mérgezett keresési eredményeket olyan témákkal kapcsolatban, mint a szerződések, jogi formák és egyéb üzleti vonatkozású dokumentumok. Ezek a manipulált keresési eredmények a gyanútlan áldozatokat olyan feltört webhelyekre vezetik, amelyeket zseniálisan úgy alakítottak ki, hogy legitim fórumokhoz hasonlítsanak. Itt az áldozatokat megtévesztik azzal, hogy letöltsék az archív fájlba ügyesen elrejtett kezdeti rakományt. Ez az archív fájl egy rejtett JavaScript-fájlt tartalmaz, amely aktiválásakor egy másik JavaScript-fájlt kér le. Ez a második fájl egy ütemezett feladaton keresztül fut, biztosítva a fennmaradását a feltört rendszeren belül.
A GootBot használata jelentős taktikai váltást jelent. Ahelyett, hogy a kizsákmányolás utáni keretrendszerekre hagyatkozna, mint például a CobaltStrike, a GootBot a GootLoader fertőzést követően hasznos teherként használatos.
A GootBot egy elhomályosított PowerShell-szkript, amelynek elsődleges funkciója, hogy kapcsolódjon egy feltört WordPress-webhelyhez vezérlési és vezérlési célból. Ezen a kapcsolaton keresztül kap további utasításokat a GootBot, ami bonyolultabbá teszi a helyzetet. Nevezetesen, minden letétbe helyezett GootBot minta különálló, kemény kódolású Command-and-Control (C2) szervert alkalmaz, ami kihívást jelent a rosszindulatú hálózati forgalom hatékony blokkolása érdekében.
A GootBot malware különféle invazív funkciókat hajthat végre a fertőzött eszközökön
A támadási lánc második szakaszában egy JavaScript-összetevő PowerShell-szkriptet hajt végre azzal a céllal, hogy rendszerinformációkat gyűjtsön és továbbítson egy távoli szerverre. Válaszul a távoli kiszolgáló egy PowerShell-szkriptet küld, amely állandó ciklusban fut, és lehetővé teszi a fenyegetés szereplői számára, hogy különféle hasznos terheléseket oszthasson el.
Az egyik ilyen hasznos adat a GootBot, amely rendszeres kommunikációt tart fenn Command-and-Control (C2) kiszolgálójával, 60 másodpercenként elérve PowerShell-feladatokat a végrehajtáshoz, és az eredményeket HTTP POST kéréseken keresztül továbbítja.
A GootBot számos képességgel büszkélkedhet, a felderítéstől a környezetben történő oldalirányú mozgásig, hatékonyan kiterjesztve a támadás hatókörét.
Ennek a GootBot-változatnak a megjelenése rávilágít arra, hogy a fenyegetés szereplői milyen kiterjedt intézkedésekre hajlandók elkerülni az észlelést és a rejtett működést. A taktikák, technikák és eszközök e változása jelentősen megnöveli a sikeres kizsákmányolás utáni szakaszokhoz kapcsolódó kockázatot, különösen a GootLoader-hez kapcsolódó ransomware társult tevékenységekkel kapcsolatos kockázatokat.
