GootBot मालवेयर

साइबरसेक्युरिटी विशेषज्ञहरूले GootBot भनेर चिनिने उपन्यास मालवेयर स्ट्रेन पहिचान गरेका छन्, जसले पत्ता लगाउन छोड्दा सम्झौता गरिएको प्रणालीहरू भित्र पार्श्व आन्दोलनलाई सुविधा दिने क्षमता प्रदर्शन गर्दछ। यस खतराको विस्तृत विश्लेषणले संकेत गर्दछ कि यो पहिले नै पत्ता लगाइएको GootLoader मालवेयरबाट व्युत्पन्न नयाँ पुनरावृत्ति हो।

उल्लेखनीय रूपमा, GootLoader समूहले पत्ता लगाउने मेकानिजमहरूलाई बेवास्ता गर्ने प्रयासमा तिनीहरूको आक्रमण कार्यप्रवाहको पछिल्लो चरणहरूमा यस अनुकूलन बटलाई रणनीतिक रूपमा प्रस्तुत गरेको छ, विशेष गरी जब कोबाल्टस्ट्राइक वा RDP जस्ता सजिलै उपलब्ध कमाण्ड-एन्ड-कन्ट्रोल (C2) उपकरणहरू प्रयोग गर्दा। यो नयाँ उदीयमान भेरियन्ट यसको हल्का प्रकृति तर उल्लेखनीय प्रभावकारिता द्वारा विशेषता हो, जसले दुर्भावनापूर्ण अभिनेताहरूलाई नेटवर्कहरू मार्फत प्रचार गर्न र थप पेलोडहरू द्रुत रूपमा तैनात गर्न सक्षम पार्छ।

GootLoader, यसको नामले सुझाव दिन्छ, खोज इन्जिन अप्टिमाइजेसन (SEO) विषाक्त रणनीतिहरू मार्फत सम्भावित पीडितहरूलाई लोभ्याएर पछिल्ला-चरण मालवेयर डाउनलोड गर्नमा विशेषज्ञता दिन्छ। यो मालवेयर तनाव Hive0127 को रूपमा चिनिने खतरा अभिनेतासँग सम्बन्धित छ, साइबर सुरक्षा समुदायमा UNC2565 को रूपमा पनि चिनिन्छ।

GootBot मालवेयर आक्रमणहरूले विषाक्त खोज परिणामहरू समावेश गर्न सक्छ

पत्ता लगाइएको GootBot अभियानहरूले अनुबंध, कानुनी फारमहरू, र अन्य व्यवसाय-सम्बन्धित कागजातहरू जस्ता विषयहरूसँग सम्बन्धित SEO-विषाक्त खोज परिणामहरू समावेश गर्ने नयाँ रणनीति अपनाएको छ। यी हेरफेर गरिएका खोज नतिजाहरूले अप्रत्याशित पीडितहरूलाई सम्झौता गरिएका वेबसाइटहरूमा लैजान्छन् जुन वैध फोरमहरूसँग मिल्दोजुल्दो रूपमा डिजाइन गरिएको हो। यहाँ, पीडितहरूलाई अभिलेख फाइल भित्र चलाखीपूर्वक लुकाइएको प्रारम्भिक पेलोड डाउनलोड गर्न धोका दिइन्छ। यो अभिलेख फाइलमा लुकाइएको JavaScript फाइल हुन्छ जुन सक्रिय हुँदा अर्को JavaScript फाइल पुन: प्राप्त हुन्छ। यो दोस्रो फाइल एक निर्धारित कार्य मार्फत कार्यान्वयन गरिएको छ, सम्झौता प्रणाली भित्र यसको दृढता सुनिश्चित गर्दै।

GootBot को उपयोगले रणनीतिमा उल्लेखनीय परिवर्तनलाई जनाउँछ। CobaltStrike जस्ता पोस्ट-शोषण फ्रेमवर्कहरूमा भर पर्नुको सट्टा, GootBot लाई GootLoader संक्रमण पछि पेलोडको रूपमा कार्यरत छ।

GootBot लाई कमाण्ड र नियन्त्रण उद्देश्यका लागि सम्झौता गरिएको WordPress साइटमा जडान गर्ने प्राथमिक कार्यको साथ एक अस्पष्ट PowerShell स्क्रिप्टको रूपमा वर्णन गरिएको छ। यो जडान मार्फत हो कि GootBot ले थप निर्देशनहरू प्राप्त गर्दछ, परिस्थितिमा जटिलता थप्दै। विशेष रूपमा, प्रत्येक जम्मा गरिएको GootBot नमूनाले एक फरक, हार्ड-कोड गरिएको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भर प्रयोग गर्दछ, यसले हानिकारक नेटवर्क ट्राफिकलाई प्रभावकारी रूपमा रोक्न चुनौतीपूर्ण प्रस्तुत गर्दछ।

GootBot मालवेयरले संक्रमित यन्त्रहरूमा विभिन्न आक्रमणकारी कार्यहरू गर्न सक्छ

आक्रमण शृङ्खलाको दोस्रो चरणमा, जाभास्क्रिप्ट कम्पोनेन्टले प्रणाली जानकारी सङ्कलन गर्ने र यसलाई टाढाको सर्भरमा पठाउने उद्देश्यले PowerShell स्क्रिप्ट कार्यान्वयन गर्छ। प्रतिक्रियामा, रिमोट सर्भरले एक PowerShell स्क्रिप्ट पठाउँछ जुन स्थिर लूपमा चल्छ, विभिन्न पेलोडहरू वितरण गर्ने क्षमताको साथ खतरा अभिनेता प्रदान गर्दछ।

यी पेलोडहरू मध्ये एउटा GootBot हो, जसले आफ्नो कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग नियमित सञ्चार कायम गर्दछ, कार्यान्वयनको लागि PowerShell कार्यहरू प्राप्त गर्न र HTTP POST अनुरोधहरू मार्फत नतिजाहरू प्रसारण गर्न प्रत्येक 60 सेकेन्डमा पुग्छ।

GootBot ले प्रभावकारी रूपमा आक्रमणको दायरा विस्तार गर्न, वातावरण भित्र पार्श्व आन्दोलन सक्षम पार्ने हेरविचार सञ्चालन गर्ने क्षमताहरूको दायराको गर्व गर्दछ।

यस GootBot भेरियन्टको उदयले व्यापक उपायहरूलाई रेखांकित गर्दछ जुन धम्की अभिनेताहरूले पत्ता लगाउन र गोप्य रूपमा सञ्चालन गर्न लिन इच्छुक छन्। रणनीति, प्रविधि र टूलिङमा भएको यो परिवर्तनले सफल पोस्ट-शोषण चरणहरू, विशेष गरी GootLoader-सम्बन्धित ransomware सम्बद्ध गतिविधिहरूसँग सम्बन्धित जोखिमलाई महत्त्वपूर्ण रूपमा बढाउँछ।