GootBot 악성코드

사이버 보안 전문가들은 탐지를 피하면서 손상된 시스템 내에서 측면 이동을 촉진하는 기능을 보여주는 GootBot이라는 새로운 악성 코드 변종을 식별했습니다. 이 위협에 대한 자세한 분석에 따르면 표면적으로는 이전에 발견된 GootLoader 악성 코드에서 파생된 새로운 버전인 것으로 나타났습니다.

중요한 점은 GootLoader 그룹이 특히 CobaltStrike 또는 RDP와 같이 쉽게 사용할 수 있는 명령 및 제어(C2) 도구를 사용할 때 탐지 메커니즘을 우회하기 위한 노력의 일환으로 공격 워크플로의 후반 단계에 이 사용자 지정 봇을 전략적으로 도입했다는 것입니다. 새롭게 등장한 이 변종은 가볍지만 주목할만한 효율성을 특징으로 하며, 악의적인 행위자가 네트워크를 통해 전파하고 추가 페이로드를 신속하게 배포할 수 있도록 해줍니다.

GootLoader는 이름에서 알 수 있듯이 검색 엔진 최적화(SEO) 중독 전술을 통해 잠재적 피해자를 유인한 후 후속 단계 악성 코드를 다운로드하는 데 특화되어 있습니다. 이 맬웨어 변종은 사이버 보안 커뮤니티에서 UNC2565로도 식별되는 Hive0127이라는 위협 행위자와 연관되어 있습니다.

GootBot 악성 코드 공격에 유해한 검색 결과가 포함될 수 있음

발견된 GootBot 캠페인은 계약서, 법적 양식 및 기타 비즈니스 관련 문서와 같은 주제와 관련된 SEO에 중독된 검색 결과를 포함하는 새로운 전략을 채택했습니다. 이러한 조작된 검색 결과는 의심하지 않는 피해자를 합법적인 포럼과 유사하게 교묘하게 설계된 손상된 웹 사이트로 유도합니다. 여기서 피해자는 속아서 아카이브 파일 내에 교묘하게 숨겨진 초기 페이로드를 다운로드하게 됩니다. 이 아카이브 파일에는 활성화되면 다른 JavaScript 파일을 검색하는 숨겨진 JavaScript 파일이 포함되어 있습니다. 이 두 번째 파일은 예약된 작업을 통해 실행되어 손상된 시스템 내에서 지속성을 보장합니다.

GootBot의 활용은 전술의 눈에 띄는 변화를 의미합니다. CobaltStrike와 같은 공격 후 프레임워크에 의존하는 대신 GootBot은 GootLoader 감염 후 페이로드로 사용됩니다.

GootBot은 명령 및 제어 목적으로 손상된 WordPress 사이트에 연결하는 주요 기능을 갖춘 난독화된 PowerShell 스크립트로 설명됩니다. GootBot은 이 연결을 통해 추가 명령을 수신하여 상황을 복잡하게 만듭니다. 특히, 보관된 각 GootBot 샘플은 하드 코딩된 고유한 명령 및 제어(C2) 서버를 사용하므로 악성 네트워크 트래픽을 효과적으로 차단하기가 어렵습니다.

GootBot 악성 코드는 감염된 장치에서 다양한 침입 기능을 수행할 수 있습니다

공격 체인의 두 번째 단계에서 JavaScript 구성 요소는 시스템 정보를 수집하고 이를 원격 서버로 전송하기 위해 PowerShell 스크립트를 실행합니다. 이에 대한 응답으로 원격 서버는 일정한 루프에서 실행되는 PowerShell 스크립트를 보내 위협 행위자에게 다양한 페이로드를 배포할 수 있는 능력을 제공합니다.

이러한 페이로드 중 하나는 명령 및 제어(C2) 서버와 정기적인 통신을 유지하는 GootBot으로, 60초마다 연결하여 실행을 위한 PowerShell 작업을 수신하고 HTTP POST 요청을 통해 결과를 전송합니다.

GootBot은 정찰 수행부터 환경 내 측면 이동 활성화, 공격 범위를 효과적으로 확장하는 것까지 다양한 기능을 자랑합니다.

이 GootBot 변종의 출현은 위협 행위자가 탐지를 피하고 은밀하게 활동하기 위해 취하려는 광범위한 조치를 강조합니다. 전술, 기술 및 도구의 이러한 변화는 성공적인 악용 후 단계, 특히 GootLoader 관련 랜섬웨어 제휴 활동과 관련된 위험을 크게 높입니다.