GootBot kenkėjiška programa

Kibernetinio saugumo ekspertai nustatė naują kenkėjiškų programų atmainą, žinomą kaip GootBot, kuri gali palengvinti judėjimą į šoną pažeistose sistemose, išvengiant aptikimo. Išsami šios grėsmės analizė rodo, kad tai neva nauja iteracija, kilusi iš anksčiau aptiktos GootLoader kenkėjiškos programos.

Svarbu tai, kad „GootLoader“ grupė strategiškai įtraukė šį tinkintą robotą į vėlesnius atakos darbo eigos etapus, siekdama apeiti aptikimo mechanizmus, ypač kai naudojami lengvai prieinami komandų ir valdymo (C2) įrankiai, tokie kaip CobaltStrike arba RDP. Šiam naujai atsiradusiam variantui būdingas lengvas pobūdis, tačiau vertas dėmesio efektyvumas, leidžiantis piktybiniams veikėjams plisti tinkluose ir greitai diegti papildomus krovinius.

„GootLoader“, kaip rodo jo pavadinimas, specializuojasi atsisiunčiant vėlesnio etapo kenkėjiškas programas po to, kai suvilioja potencialias aukas per paieškos sistemų optimizavimo (SEO) apsinuodijimo taktiką. Ši kenkėjiškų programų atmaina buvo siejama su grėsmės veikėju, žinomu kaip Hive0127, kibernetinio saugumo bendruomenėje taip pat identifikuotu kaip UNC2565.

„GootBot“ kenkėjiškų programų atakos gali apimti užnuodytus paieškos rezultatus

Atrastos „GootBot“ kampanijos patvirtino naują strategiją, apimančią SEO užnuodytus paieškos rezultatus, susijusius su tokiomis temomis kaip sutartys, teisinės formos ir kiti su verslu susiję dokumentai. Šie manipuliuojami paieškos rezultatai atveda nieko neįtariančias aukas į pažeistas svetaines, kurios buvo išradingai sukurtos taip, kad būtų panašios į teisėtus forumus. Čia aukos yra apgaudinėjamos atsisiunčiant pradinį naudingą krovinį, sumaniai paslėptą archyvo faile. Šiame archyvo faile yra paslėptas „JavaScript“ failas, kurį suaktyvinus nuskaitomas kitas „JavaScript“ failas. Šis antrasis failas vykdomas atliekant suplanuotą užduotį, užtikrinant jo išlikimą pažeistoje sistemoje.

„GootBot“ naudojimas reiškia reikšmingą taktikos pokytį. Užuot pasikliavę poeksploatacinėmis sistemomis, tokiomis kaip „CobaltStrike“, „GootBot“ naudojamas kaip naudingas krovinys po „GootLoader“ infekcijos.

„GootBot“ apibūdinamas kaip užtemdytas „PowerShell“ scenarijus, kurio pagrindinė funkcija yra prisijungti prie pažeistos „WordPress“ svetainės komandų ir valdymo tikslais. Būtent per šį ryšį „GootBot“ gauna tolesnes instrukcijas, todėl situacija tampa sudėtingesnė. Pažymėtina, kad kiekviename deponuotame „GootBot“ pavyzdyje naudojamas atskiras, sunkiai užkoduotas komandų ir valdymo (C2) serveris, todėl efektyviai blokuoti kenkėjišką tinklo srautą yra sudėtinga.

„GootBot“ kenkėjiška programa užkrėstuose įrenginiuose gali atlikti įvairias invazines funkcijas

Antrajame atakos grandinės etape „JavaScript“ komponentas vykdo „PowerShell“ scenarijų, kurio tikslas yra surinkti sistemos informaciją ir perduoti ją nuotoliniam serveriui. Reaguodamas į tai, nuotolinis serveris siunčia „PowerShell“ scenarijų, kuris veikia nuolatine kilpa, suteikdamas grėsmės veikėjui galimybę paskirstyti įvairius naudingus krovinius.

Viena iš šių naudingų apkrovų yra „GootBot“, kuri palaiko reguliarų ryšį su savo komandų ir valdymo (C2) serveriu, susisiekdamas kas 60 sekundžių, kad gautų „PowerShell“ užduotis vykdyti ir perduotų rezultatus per HTTP POST užklausas.

„GootBot“ gali pasigirti daugybe galimybių – nuo žvalgybos atlikimo iki šoninio judėjimo aplinkoje, efektyviai išplečiant atakos apimtį.

Šio „GootBot“ varianto atsiradimas pabrėžia plačias priemones, kurių grėsmės veikėjai nori imtis, kad išvengtų aptikimo ir veiktų slaptai. Šis taktikos, metodų ir įrankių pokytis žymiai padidina riziką, susijusią su sėkmingais etapais po išnaudojimo, ypač susijusiais su „GootLoader“ susijusia „ransomware“ dukterine veikla.