មេរោគ GootBot

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគប្រលោមលោកដែលត្រូវបានគេស្គាល់ថាជា GootBot ដែលបង្ហាញពីសមត្ថភាពក្នុងការសម្របសម្រួលចលនានៅពេលក្រោយនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលខណៈពេលកំពុងគេចពីការរកឃើញ។ ការវិភាគលម្អិតនៃការគម្រាមកំហែងនេះបង្ហាញថា វាគឺជាការអះអាងថ្មីដែលកើតចេញពីមេរោគ GootLoader ដែលបានរកឃើញពីមុន។

គួរឲ្យកត់សម្គាល់ ក្រុម GootLoader បានដាក់យុទ្ធសាស្ត្រណែនាំ bot ផ្ទាល់ខ្លួននេះទៅក្នុងដំណាក់កាលក្រោយនៃលំហូរការងារវាយប្រហាររបស់ពួកគេក្នុងកិច្ចខិតខំប្រឹងប្រែងដើម្បីគេចចេញពីយន្តការរាវរក ជាពិសេសនៅពេលប្រើឧបករណ៍ Command-and-Control (C2) ដែលមានស្រាប់ដូចជា CobaltStrike ឬ RDP ។ វ៉ារ្យ៉ង់ដែលទើបនឹងចេញថ្មីនេះត្រូវបានកំណត់លក្ខណៈដោយលក្ខណៈស្រាលរបស់វា ប៉ុន្តែប្រសិទ្ធភាពគួរឱ្យកត់សម្គាល់ ដែលអនុញ្ញាតឱ្យតួអង្គព្យាបាទអាចផ្សព្វផ្សាយតាមរយៈបណ្តាញ និងដាក់ពង្រាយបន្ទុកបន្ថែមបានយ៉ាងលឿន។

GootLoader ដូចដែលឈ្មោះរបស់វាបានបង្ហាញ ជំនាញក្នុងការទាញយកមេរោគក្នុងដំណាក់កាលបន្តបន្ទាប់ បន្ទាប់ពីទាក់ទាញជនរងគ្រោះដែលមានសក្តានុពលតាមរយៈវិធីសាស្ត្របំពុលម៉ាស៊ីនស្វែងរក (SEO)។ ប្រភេទមេរោគនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងតួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា Hive0127 ដែលត្រូវបានកំណត់ថាជា UNC2565 នៅក្នុងសហគមន៍សន្តិសុខអ៊ីនធឺណិត។

ការវាយប្រហារមេរោគ GootBot អាចពាក់ព័ន្ធនឹងលទ្ធផលស្វែងរកពុល

យុទ្ធនាការ GootBot ដែលបានរកឃើញបានអនុម័តយុទ្ធសាស្រ្តថ្មីមួយដែលពាក់ព័ន្ធនឹងលទ្ធផលស្វែងរកដែលបំពុលដោយ SEO ដែលទាក់ទងនឹងប្រធានបទដូចជាកិច្ចសន្យា ទម្រង់ច្បាប់ និងឯកសារដែលទាក់ទងនឹងអាជីវកម្មផ្សេងទៀត។ លទ្ធផលស្វែងរកដែលបានរៀបចំទាំងនេះនាំឱ្យជនរងគ្រោះដែលមិនមានការសង្ស័យទៅកាន់គេហទំព័រដែលត្រូវបានសម្របសម្រួលដែលត្រូវបានរចនាឡើងយ៉ាងប៉ិនប្រសប់ដើម្បីស្រដៀងនឹងវេទិកាស្របច្បាប់។ នៅទីនេះ ជនរងគ្រោះត្រូវបានបញ្ឆោតឱ្យទាញយកបន្ទុកដំបូងដែលលាក់ដោយឆ្លាតវៃនៅក្នុងឯកសារបណ្ណសារ។ ឯកសារបណ្ណសារនេះមានឯកសារ JavaScript ដែលលាក់ទុក ដែលនៅពេលដែលបានធ្វើឱ្យសកម្ម ទាញយកឯកសារ JavaScript ផ្សេងទៀត។ ឯកសារទីពីរនេះត្រូវបានប្រតិបត្តិតាមរយៈកិច្ចការដែលបានកំណត់ពេល ដោយធានានូវភាពស្ថិតស្ថេររបស់វានៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

ការប្រើប្រាស់ GootBot បង្ហាញពីការផ្លាស់ប្តូរគួរឱ្យកត់សម្គាល់នៅក្នុងយុទ្ធសាស្ត្រ។ ជំនួសឱ្យការពឹងផ្អែកលើក្របខ័ណ្ឌក្រោយការកេងប្រវ័ញ្ចដូចជា CobaltStrike GootBot ត្រូវបានគេប្រើប្រាស់ជាបន្ទុកបន្ទាប់ពីការឆ្លងមេរោគ GootLoader ។

GootBot ត្រូវបានពិពណ៌នាថាជាស្គ្រីប PowerShell ដែលមិនមានភាពច្របូកច្របល់ជាមួយនឹងមុខងារចម្បងនៃការភ្ជាប់ទៅកាន់គេហទំព័រ WordPress ដែលត្រូវបានសម្របសម្រួលសម្រាប់គោលបំណងបញ្ជា និងការគ្រប់គ្រង។ វាគឺតាមរយៈការតភ្ជាប់នេះដែល GootBot ទទួលបានការណែនាំបន្ថែមដោយបន្ថែមភាពស្មុគស្មាញដល់ស្ថានភាព។ គួរកត់សម្គាល់ថាគំរូ GootBot ដែលដាក់ទុកនីមួយៗប្រើម៉ាស៊ីនមេ Command-and-Control (C2) ដាច់ដោយឡែក ដែលធ្វើឱ្យវាពិបាកទប់ស្កាត់ចរាចរណ៍បណ្តាញព្យាបាទប្រកបដោយប្រសិទ្ធភាព។

មេរោគ GootBot អាចអនុវត្តមុខងាររាតត្បាតផ្សេងៗលើឧបករណ៍ដែលមានមេរោគ

ក្នុងដំណាក់កាលទីពីរនៃសង្វាក់វាយប្រហារ សមាសធាតុ JavaScript ដំណើរការស្គ្រីប PowerShell ដោយមានគោលបំណងប្រមូលព័ត៌មានប្រព័ន្ធ និងបញ្ជូនវាទៅម៉ាស៊ីនមេពីចម្ងាយ។ ជាការឆ្លើយតប ម៉ាស៊ីនមេពីចម្ងាយផ្ញើស្គ្រីប PowerShell ដែលដំណើរការក្នុងរង្វិលជុំថេរ ដោយផ្តល់ឱ្យតួអង្គគំរាមកំហែងនូវសមត្ថភាពក្នុងការចែកចាយបន្ទុកផ្សេងៗ។

បន្ទុកមួយក្នុងចំណោមបន្ទុកទាំងនេះគឺ GootBot ដែលរក្សាទំនាក់ទំនងទៀងទាត់ជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) របស់ខ្លួន ដោយឈានដល់រៀងរាល់ 60 វិនាទីដើម្បីទទួលបានកិច្ចការ PowerShell សម្រាប់ប្រតិបត្តិ និងបញ្ជូនលទ្ធផលតាមរយៈសំណើ HTTP POST ។

GootBot មាន​សមត្ថភាព​ជាច្រើន​ចាប់ពី​ការ​ឈ្លបយកការណ៍​រហូតដល់​ការ​បើក​ចលនា​នៅពេល​ក្រោយ​នៅក្នុង​បរិស្ថាន ពង្រីក​វិសាលភាព​នៃ​ការវាយប្រហារ​យ៉ាង​មាន​ប្រសិទ្ធភាព។

ការលេចឡើងនៃកំណែ GootBot នេះគូសបញ្ជាក់អំពីវិធានការដ៏ទូលំទូលាយដែលតួអង្គគំរាមកំហែងមានឆន្ទៈក្នុងការគេចចេញពីការរកឃើញ និងប្រតិបត្តិការដោយសម្ងាត់។ ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រ បច្ចេកទេស និងឧបករណ៍នេះបង្កើនហានិភ័យយ៉ាងសំខាន់ដែលទាក់ទងនឹងដំណាក់កាលក្រោយការកេងប្រវ័ញ្ចជោគជ័យ ជាពិសេសសកម្មភាពដែលទាក់ទងនឹង GootLoader ទាក់ទងនឹង ransomware affiliate ។