Perisian Hasad GootBot

Pakar keselamatan siber telah mengenal pasti jenis perisian hasad baru yang dikenali sebagai GootBot, yang mempamerkan keupayaan untuk memudahkan pergerakan sisi dalam sistem yang terjejas sambil mengelak daripada pengesanan. Analisis terperinci tentang ancaman ini menunjukkan bahawa ia seolah-olah merupakan lelaran baharu yang diperoleh daripada perisian hasad GootLoader yang ditemui sebelum ini.

Secara ketara, kumpulan GootLoader telah memperkenalkan bot tersuai ini secara strategik ke peringkat akhir aliran kerja serangan mereka dalam usaha untuk memintas mekanisme pengesanan, terutamanya apabila menggunakan alatan Command-and-Control (C2) yang tersedia seperti CobaltStrike atau RDP. Varian yang baru muncul ini dicirikan oleh sifatnya yang ringan tetapi keberkesanannya yang patut diberi perhatian, membolehkan pelakon yang berniat jahat menyebarkan melalui rangkaian dan menggunakan muatan tambahan dengan pantas.

GootLoader, seperti namanya, mengkhususkan diri dalam memuat turun perisian hasad peringkat seterusnya selepas memikat bakal mangsa melalui taktik pengoptimuman enjin carian (SEO) keracunan. Strain malware ini telah dikaitkan dengan pelakon ancaman yang dikenali sebagai Hive0127, juga dikenal pasti sebagai UNC2565 dalam komuniti keselamatan siber.

Serangan Hasad GootBot Mungkin Melibatkan Hasil Carian Beracun

Kempen GootBot yang ditemui telah menggunakan strategi baharu yang melibatkan hasil carian beracun SEO yang berkaitan dengan topik seperti kontrak, borang undang-undang dan dokumen berkaitan perniagaan yang lain. Hasil carian yang dimanipulasi ini membawa mangsa yang tidak curiga kepada tapak web yang terjejas yang telah direka dengan bijak untuk menyerupai forum yang sah. Di sini, mangsa ditipu untuk memuat turun muatan awal dengan bijak disembunyikan dalam fail arkib. Fail arkib ini mengandungi fail JavaScript tersembunyi yang, apabila diaktifkan, mendapatkan semula fail JavaScript yang lain. Fail kedua ini dilaksanakan melalui tugas berjadual, memastikan kegigihannya dalam sistem yang terjejas.

Penggunaan GootBot menandakan perubahan ketara dalam taktik. Daripada bergantung pada rangka kerja pasca eksploitasi seperti CobaltStrike, GootBot digunakan sebagai muatan berikutan jangkitan GootLoader.

GootBot digambarkan sebagai skrip PowerShell yang dikelirukan dengan fungsi utama menyambung ke tapak WordPress yang terjejas untuk tujuan arahan dan kawalan. Melalui sambungan inilah GootBot menerima arahan selanjutnya, menambahkan kerumitan kepada keadaan. Terutama, setiap sampel GootBot yang didepositkan menggunakan pelayan Command-and-Control (C2) berkod keras yang berbeza, menjadikannya mencabar untuk menyekat trafik rangkaian berniat jahat dengan berkesan.

Perisian Hasad GootBot Boleh Menjalankan Pelbagai Fungsi Invasif pada Peranti Yang Dijangkiti

Semasa peringkat kedua rantaian serangan, komponen JavaScript melaksanakan skrip PowerShell dengan tujuan mengumpul maklumat sistem dan menghantarnya ke pelayan jauh. Sebagai tindak balas, pelayan jauh menghantar skrip PowerShell yang berjalan dalam gelung berterusan, memberikan aktor ancaman keupayaan untuk mengedarkan pelbagai muatan.

Salah satu muatan ini ialah GootBot, yang mengekalkan komunikasi tetap dengan pelayan Command-and-Control (C2), menjangkau setiap 60 saat untuk menerima tugas PowerShell untuk pelaksanaan dan menghantar keputusan melalui permintaan HTTP POST.

GootBot menawarkan pelbagai keupayaan, daripada menjalankan peninjauan kepada membolehkan pergerakan sisi dalam persekitaran, meluaskan skop serangan dengan berkesan.

Kemunculan varian GootBot ini menggariskan langkah meluas yang sanggup diambil oleh aktor ancaman untuk mengelakkan pengesanan dan beroperasi secara rahsia. Peralihan dalam taktik, teknik dan perkakasan ini dengan ketara meningkatkan risiko yang berkaitan dengan peringkat pasca eksploitasi yang berjaya, terutamanya yang berkaitan dengan aktiviti ahli gabungan perisian tebusan yang berkaitan dengan GootLoader.