GootBot-malware

Cybersecurity-experts hebben een nieuwe malwaresoort geïdentificeerd die bekend staat als GootBot en die het vermogen vertoont om zijdelingse bewegingen binnen gecompromitteerde systemen te vergemakkelijken terwijl detectie wordt ontweken. Een gedetailleerde analyse van deze dreiging geeft aan dat het ogenschijnlijk een nieuwe iteratie is die is afgeleid van de eerder ontdekte GootLoader- malware.

Het is veelbetekenend dat de GootLoader-groep deze aangepaste bot strategisch heeft geïntroduceerd in de latere stadia van hun aanvalsworkflow in een poging detectiemechanismen te omzeilen, vooral bij het gebruik van direct beschikbare Command-and-Control (C2)-tools zoals CobaltStrike of RDP. Deze nieuw opkomende variant wordt gekenmerkt door zijn lichtgewicht karakter maar opmerkelijke doeltreffendheid, waardoor kwaadwillende actoren zich via netwerken kunnen verspreiden en snel extra ladingen kunnen inzetten.

GootLoader is, zoals de naam al doet vermoeden, gespecialiseerd in het downloaden van malware in de volgende fase nadat het potentiële slachtoffers heeft verleid via zoekmachineoptimalisatie (SEO)-vergiftigingstactieken. Deze malwaresoort is in verband gebracht met een bedreigingsactor die bekend staat als Hive0127, ook geïdentificeerd als UNC2565 in de cyberbeveiligingsgemeenschap.

De GootBot Malware-aanvallen kunnen vergiftigde zoekresultaten met zich meebrengen

De ontdekte GootBot-campagnes hebben een nieuwe strategie aangenomen met SEO-vergiftigde zoekresultaten met betrekking tot onderwerpen als contracten, rechtsvormen en andere bedrijfsgerelateerde documenten. Deze gemanipuleerde zoekresultaten leiden nietsvermoedende slachtoffers naar gecompromitteerde websites die op ingenieuze wijze zijn ontworpen om op legitieme forums te lijken. Hier worden de slachtoffers misleid om een initiële lading te downloaden die slim verborgen is in een archiefbestand. Dit archiefbestand bevat een verborgen JavaScript-bestand dat, indien geactiveerd, een ander JavaScript-bestand ophaalt. Dit tweede bestand wordt uitgevoerd via een geplande taak, waardoor de persistentie binnen het gecompromitteerde systeem wordt gegarandeerd.

Het gebruik van GootBot betekent een opmerkelijke tactiekverschuiving. In plaats van te vertrouwen op post-exploitatieframeworks zoals CobaltStrike, wordt GootBot gebruikt als payload na een GootLoader-infectie.

GootBot wordt beschreven als een versluierd PowerShell-script met als primaire functie verbinding maken met een gecompromitteerde WordPress-site voor commando- en controledoeleinden. Via deze verbinding ontvangt GootBot verdere instructies, wat de situatie nog ingewikkelder maakt. Opvallend is dat elk gedeponeerd GootBot-voorbeeld een afzonderlijke, hardgecodeerde Command-and-Control (C2)-server gebruikt, waardoor het een uitdaging wordt om kwaadaardig netwerkverkeer effectief te blokkeren.

De GootBot-malware kan verschillende invasieve functies uitvoeren op geïnfecteerde apparaten

Tijdens de tweede fase van de aanvalsketen voert een JavaScript-component een PowerShell-script uit met als doel systeeminformatie te verzamelen en deze naar een externe server te verzenden. Als reactie hierop verzendt de externe server een PowerShell-script dat in een constante lus draait, waardoor de bedreigingsactor de mogelijkheid krijgt om verschillende payloads te distribueren.

Een van deze payloads is GootBot, dat regelmatige communicatie onderhoudt met zijn Command-and-Control (C2)-server, elke 60 seconden contact opneemt om PowerShell-taken te ontvangen voor uitvoering en de resultaten verzendt via HTTP POST-verzoeken.

GootBot beschikt over een scala aan mogelijkheden, van het uitvoeren van verkenningen tot het mogelijk maken van zijdelingse bewegingen binnen de omgeving, waardoor de reikwijdte van de aanval effectief wordt vergroot.

De opkomst van deze GootBot-variant onderstreept de uitgebreide maatregelen die dreigingsactoren bereid zijn te nemen om detectie te ontlopen en heimelijk te opereren. Deze verschuiving in tactieken, technieken en tools verhoogt aanzienlijk het risico dat gepaard gaat met succesvolle post-exploitatiefasen, met name die gerelateerd aan GootLoader-geassocieerde ransomware-activiteiten.