Malware GootBot

Gli esperti di sicurezza informatica hanno identificato un nuovo ceppo di malware noto come GootBot, che mostra la capacità di facilitare il movimento laterale all’interno dei sistemi compromessi eludendo il rilevamento. Un'analisi dettagliata di questa minaccia indica che si tratta apparentemente di una nuova iterazione derivata dal malware GootLoader precedentemente scoperto.

Significativamente, il gruppo GootLoader ha introdotto strategicamente questo bot personalizzato nelle fasi successive del flusso di lavoro di attacco nel tentativo di eludere i meccanismi di rilevamento, soprattutto quando si utilizzano strumenti di comando e controllo (C2) facilmente disponibili come CobaltStrike o RDP. Questa nuova variante emergente è caratterizzata dalla sua natura leggera ma da una notevole efficacia, consentendo agli attori malintenzionati di propagarsi attraverso le reti e distribuire rapidamente carichi utili aggiuntivi.

GootLoader, come suggerisce il nome, è specializzato nel download di malware della fase successiva dopo aver attirato potenziali vittime attraverso tattiche di avvelenamento dall'ottimizzazione dei motori di ricerca (SEO). Questo ceppo di malware è stato associato a un attore di minacce noto come Hive0127, identificato anche come UNC2565 nella comunità della sicurezza informatica.

Gli attacchi malware GootBot possono coinvolgere risultati di ricerca avvelenati

Le campagne GootBot scoperte hanno adottato una nuova strategia che coinvolge risultati di ricerca avvelenati dal SEO relativi ad argomenti come contratti, forme legali e altri documenti relativi alle imprese. Questi risultati di ricerca manipolati portano le vittime ignare a siti Web compromessi che sono stati ingegnosamente progettati per assomigliare a forum legittimi. In questo caso, le vittime vengono indotte con l'inganno a scaricare un payload iniziale abilmente nascosto all'interno di un file di archivio. Questo file di archivio contiene un file JavaScript nascosto che, una volta attivato, recupera un altro file JavaScript. Questo secondo file viene eseguito tramite un'attività pianificata, garantendone la persistenza all'interno del sistema compromesso.

L'utilizzo di GootBot significa un notevole cambiamento nella tattica. Invece di fare affidamento su framework post-sfruttamento come CobaltStrike, GootBot viene utilizzato come carico utile in seguito a un’infezione da GootLoader.

GootBot è descritto come uno script PowerShell offuscato con la funzione principale di connettersi a un sito WordPress compromesso per scopi di comando e controllo. È attraverso questa connessione che GootBot riceve ulteriori istruzioni, aggiungendo complessità alla situazione. In particolare, ogni campione GootBot depositato utilizza un server Command-and-Control (C2) distinto e codificato, rendendo difficile bloccare in modo efficace il traffico di rete dannoso.

Il malware GootBot può eseguire varie funzioni invasive sui dispositivi infetti

Nella seconda fase della catena di attacco, un componente JavaScript esegue uno script PowerShell con lo scopo di raccogliere informazioni sul sistema e trasmetterle a un server remoto. In risposta, il server remoto invia uno script PowerShell che viene eseguito in un ciclo costante, fornendo all'autore della minaccia la possibilità di distribuire vari payload.

Uno di questi payload è GootBot, che mantiene una comunicazione regolare con il suo server Command-and-Control (C2), contattandosi ogni 60 secondi per ricevere attività PowerShell per l'esecuzione e trasmettendo i risultati tramite richieste HTTP POST.

GootBot vanta una vasta gamma di capacità, dalla conduzione di ricognizione all'abilitazione del movimento laterale all'interno dell'ambiente, espandendo efficacemente la portata dell'attacco.

L’emergere di questa variante di GootBot sottolinea le ampie misure che gli autori delle minacce sono disposti ad adottare per eludere il rilevamento e operare di nascosto. Questo cambiamento di tattiche, tecniche e strumenti aumenta significativamente il rischio associato alle fasi post-sfruttamento di successo, in particolare quelle relative alle attività di affiliazione del ransomware associato a GootLoader.