GootBot skadelig programvare

Eksperter på nettsikkerhet har identifisert en ny skadelig programvare-stamme kjent som GootBot, som viser evnen til å lette sideveis bevegelse i kompromitterte systemer samtidig som den unngår oppdagelse. En detaljert analyse av denne trusselen indikerer at det tilsynelatende er en ny iterasjon avledet fra tidligere oppdaget GootLoader malware.

Betydelig nok har GootLoader-gruppen strategisk introdusert denne tilpassede boten i de senere stadiene av angrepsarbeidsflyten deres i et forsøk på å omgå deteksjonsmekanismer, spesielt når de bruker lett tilgjengelige Command-and-Control (C2)-verktøy som CobaltStrike eller RDP. Denne nye varianten er preget av sin lette natur, men bemerkelsesverdige effektivitet, som gjør det mulig for ondsinnede aktører å forplante seg gjennom nettverk og distribuere ekstra nyttelast raskt.

GootLoader, som navnet antyder, spesialiserer seg på å laste ned skadelig programvare i påfølgende stadier etter å ha lokket potensielle ofre gjennom forgiftningstaktikker for søkemotoroptimalisering (SEO). Denne malware-stammen har vært assosiert med en trusselaktør kjent som Hive0127, også identifisert som UNC2565 i nettsikkerhetssamfunnet.

GootBot-malware-angrepene kan involvere forgiftede søkeresultater

De oppdagede GootBot-kampanjene har tatt i bruk en ny strategi som involverer SEO-forgiftede søkeresultater relatert til emner som kontrakter, juridiske former og andre forretningsrelaterte dokumenter. Disse manipulerte søkeresultatene fører intetanende ofre til kompromitterte nettsteder som er genialt designet for å ligne legitime fora. Her blir ofre lurt til å laste ned en første nyttelast som er smart skjult i en arkivfil. Denne arkivfilen inneholder en skjult JavaScript-fil som, når den er aktivert, henter en annen JavaScript-fil. Denne andre filen kjøres gjennom en planlagt oppgave, og sikrer at den holder seg i det kompromitterte systemet.

Bruken av GootBot betyr et bemerkelsesverdig skifte i taktikk. I stedet for å stole på rammeverk etter utnyttelse som CobaltStrike, brukes GootBot som nyttelast etter en GootLoader-infeksjon.

GootBot er beskrevet som et skjult PowerShell-skript med den primære funksjonen å koble til et kompromittert WordPress-nettsted for kommando- og kontrollformål. Det er gjennom denne forbindelsen at GootBot mottar ytterligere instruksjoner, noe som gjør situasjonen mer kompleks. Spesielt bruker hvert avsatt GootBot-eksempel en distinkt, hardkodet Command-and-Control (C2)-server, noe som gjør det utfordrende å blokkere ondsinnet nettverkstrafikk effektivt.

GootBot-malware kan utføre forskjellige invasive funksjoner på infiserte enheter

Under den andre fasen av angrepskjeden kjører en JavaScript-komponent et PowerShell-skript med det formål å samle inn systeminformasjon og overføre den til en ekstern server. Som svar sender den eksterne serveren et PowerShell-skript som kjører i en konstant sløyfe, og gir trusselaktøren muligheten til å distribuere ulike nyttelaster.

En av disse nyttelastene er GootBot, som opprettholder regelmessig kommunikasjon med sin Command-and-Control (C2)-server, og når ut hvert 60. sekund for å motta PowerShell-oppgaver for utførelse og overføring av resultatene via HTTP POST-forespørsler.

GootBot kan skryte av en rekke muligheter, fra å gjennomføre rekognosering til å muliggjøre sideveis bevegelse i miljøet, og effektivt utvide omfanget av angrepet.

Fremveksten av denne GootBot-varianten understreker de omfattende tiltakene som trusselaktører er villige til å ta for å unngå oppdagelse og operere skjult. Dette skiftet i taktikk, teknikker og verktøy øker betydelig risikoen forbundet med vellykkede stadier etter utnyttelse, spesielt de som er relatert til GootLoader-assosierte løsepengeprogramvare-tilknyttede aktiviteter.