GootBot ļaunprātīga programmatūra

Kiberdrošības eksperti ir identificējuši jaunu ļaunprātīgas programmatūras celmu, kas pazīstams kā GootBot, kas spēj atvieglot sānu kustību apdraudētās sistēmās, vienlaikus izvairoties no atklāšanas. Detalizēta šī apdraudējuma analīze liecina, ka tā šķietami ir jauna iterācija, kas iegūta no iepriekš atklātās GootLoader ļaunprogrammatūras.

Zīmīgi, ka grupa GootLoader ir stratēģiski ieviesusi šo pielāgoto robotu savas uzbrukuma darbplūsmas vēlākajos posmos, cenšoties apiet noteikšanas mehānismus, īpaši, ja tiek izmantoti viegli pieejami Command-and-Control (C2) rīki, piemēram, CobaltStrike vai RDP. Šim jaunizveidotajam variantam ir raksturīgs tā vieglais raksturs, taču ievērojama efektivitāte, ļaujot ļaunprātīgiem dalībniekiem izplatīties pa tīkliem un ātri izvietot papildu kravas.

GootLoader, kā norāda tās nosaukums, specializējas nākamās stadijas ļaunprogrammatūras lejupielādēšanā pēc tam, kad ir ievilinājis potenciālos upurus, izmantojot meklētājprogrammu optimizācijas (SEO) saindēšanās taktiku. Šis ļaunprogrammatūras celms ir saistīts ar apdraudējumu, kas pazīstams kā Hive0127, kas kiberdrošības kopienā identificēts arī kā UNC2565.

GootBot ļaunprātīgas programmatūras uzbrukumi var ietvert saindētus meklēšanas rezultātus

Atklātajās GootBot kampaņās ir pieņemta jauna stratēģija, kas ietver ar SEO saindētus meklēšanas rezultātus, kas saistīti ar tādām tēmām kā līgumi, juridiskās formas un citi ar uzņēmējdarbību saistīti dokumenti. Šie manipulētie meklēšanas rezultāti aizved nenojaušus upurus uz apdraudētām vietnēm, kas ir ģeniāli izstrādātas, lai atgādinātu likumīgus forumus. Šeit upuri tiek maldināti, lejupielādējot sākotnējo kravnesību, kas gudri paslēpta arhīva failā. Šajā arhīva failā ir slēpts JavaScript fails, kas, aktivizējot to, izgūst citu JavaScript failu. Šis otrais fails tiek izpildīts, izmantojot ieplānotu uzdevumu, nodrošinot tā noturību apdraudētajā sistēmā.

GootBot izmantošana nozīmē ievērojamas taktikas izmaiņas. Tā vietā, lai paļautos uz pēcekspluatācijas sistēmām, piemēram, CobaltStrike, GootBot tiek izmantots kā lietderīgā slodze pēc GootLoader infekcijas.

GootBot ir aprakstīts kā neskaidrs PowerShell skripts, kura galvenā funkcija ir izveidot savienojumu ar apdraudētu WordPress vietni komandu un kontroles nolūkos. Izmantojot šo savienojumu, GootBot saņem papildu norādījumus, padarot situāciju sarežģītāku. Proti, katrā noglabātajā GootBot paraugā tiek izmantots atšķirīgs, cieti kodēts Command-and-Control (C2) serveris, padarot to sarežģītu efektīvi bloķēt ļaunprātīgu tīkla trafiku.

GootBot ļaunprātīga programmatūra inficētās ierīcēs var veikt dažādas invazīvas funkcijas

Uzbrukuma ķēdes otrajā posmā JavaScript komponents izpilda PowerShell skriptu, lai apkopotu sistēmas informāciju un pārsūtītu to uz attālo serveri. Atbildot uz to, attālais serveris nosūta PowerShell skriptu, kas darbojas pastāvīgā ciklā, nodrošinot apdraudējuma dalībniekam iespēju izplatīt dažādas lietderīgās slodzes.

Viena no šīm kravām ir GootBot, kas uztur regulāru saziņu ar savu Command-and-Control (C2) serveri, sazinoties ik pēc 60 sekundēm, lai saņemtu izpildei PowerShell uzdevumus un pārsūtītu rezultātus, izmantojot HTTP POST pieprasījumus.

GootBot lepojas ar dažādām iespējām, sākot no izlūkošanas veikšanas līdz sānu kustības nodrošināšanai vidē, efektīvi paplašinot uzbrukuma jomu.

Šī GootBot varianta parādīšanās uzsver plašos pasākumus, ko draudu dalībnieki ir gatavi veikt, lai izvairītos no atklāšanas un darbotos slēpti. Šīs taktikas, tehnikas un rīku maiņa ievērojami palielina risku, kas saistīts ar veiksmīgiem pēcekspluatācijas posmiem, īpaši tiem, kas saistīti ar GootLoader saistītajām izpirkuma programmatūras darbībām.