GootBot ਮਾਲਵੇਅਰ
ਸਾਈਬਰਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ GootBot ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਤਣਾਅ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹੋਏ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਦੀ ਸਹੂਲਤ ਦੇਣ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਸ ਖਤਰੇ ਦਾ ਵਿਸਤ੍ਰਿਤ ਵਿਸ਼ਲੇਸ਼ਣ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਪਹਿਲਾਂ ਖੋਜੇ ਗਏ GootLoader ਮਾਲਵੇਅਰ ਤੋਂ ਲਿਆ ਗਿਆ ਇੱਕ ਨਵਾਂ ਦੁਹਰਾਓ ਹੈ।
ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ, GootLoader ਸਮੂਹ ਨੇ ਖੋਜ ਵਿਧੀ ਨੂੰ ਰੋਕਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ ਇਸ ਕਸਟਮ ਬੋਟ ਨੂੰ ਆਪਣੇ ਹਮਲੇ ਦੇ ਵਰਕਫਲੋ ਦੇ ਬਾਅਦ ਦੇ ਪੜਾਵਾਂ ਵਿੱਚ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਪੇਸ਼ ਕੀਤਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਜਦੋਂ ਕੋਬਾਲਟਸਟ੍ਰਾਈਕ ਜਾਂ ਆਰਡੀਪੀ ਵਰਗੇ ਆਸਾਨੀ ਨਾਲ ਉਪਲਬਧ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ। ਇਹ ਨਵਾਂ ਉਭਰਿਆ ਰੂਪ ਇਸਦੇ ਹਲਕੇ ਸੁਭਾਅ ਦੁਆਰਾ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ ਪਰ ਧਿਆਨ ਦੇਣ ਯੋਗ ਕੁਸ਼ਲਤਾ ਹੈ, ਜਿਸ ਨਾਲ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਨੂੰ ਨੈੱਟਵਰਕਾਂ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਅਤੇ ਵਾਧੂ ਪੇਲੋਡਾਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਤੈਨਾਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਗਿਆ ਹੈ।
GootLoader, ਜਿਵੇਂ ਕਿ ਇਸਦਾ ਨਾਮ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ, ਖੋਜ ਇੰਜਨ ਔਪਟੀਮਾਈਜੇਸ਼ਨ (SEO) ਜ਼ਹਿਰੀਲੀ ਰਣਨੀਤੀਆਂ ਦੁਆਰਾ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਨੂੰ ਭਰਮਾਉਣ ਤੋਂ ਬਾਅਦ ਬਾਅਦ ਦੇ ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਵਿੱਚ ਮੁਹਾਰਤ ਰੱਖਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਤਣਾਅ Hive0127 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਜਿਸ ਦੀ ਪਛਾਣ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ UNC2565 ਵਜੋਂ ਵੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
GootBot ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਵਿੱਚ ਜ਼ਹਿਰੀਲੇ ਖੋਜ ਨਤੀਜੇ ਸ਼ਾਮਲ ਹੋ ਸਕਦੇ ਹਨ
ਖੋਜੇ ਗਏ GootBot ਮੁਹਿੰਮਾਂ ਨੇ ਇਕ ਨਵੀਂ ਰਣਨੀਤੀ ਅਪਣਾਈ ਹੈ ਜਿਸ ਵਿਚ ਇਕਰਾਰਨਾਮੇ, ਕਾਨੂੰਨੀ ਰੂਪਾਂ ਅਤੇ ਹੋਰ ਵਪਾਰਕ-ਸਬੰਧਤ ਦਸਤਾਵੇਜ਼ਾਂ ਵਰਗੇ ਵਿਸ਼ਿਆਂ ਨਾਲ ਸਬੰਧਤ ਐਸਈਓ-ਜ਼ਹਿਰ ਵਾਲੇ ਖੋਜ ਨਤੀਜਿਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਹੇਰਾਫੇਰੀ ਕੀਤੇ ਖੋਜ ਨਤੀਜੇ ਅਸੰਭਵ ਪੀੜਤਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕਰਨ ਵਾਲੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਵੱਲ ਲੈ ਜਾਂਦੇ ਹਨ ਜੋ ਜਾਇਜ਼ ਫੋਰਮਾਂ ਦੇ ਸਮਾਨ ਹੋਣ ਲਈ ਸਮਝਦਾਰੀ ਨਾਲ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਇੱਥੇ, ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਪੁਰਾਲੇਖ ਫਾਈਲ ਦੇ ਅੰਦਰ ਚਲਾਕੀ ਨਾਲ ਛੁਪਾਏ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਆਰਕਾਈਵ ਫ਼ਾਈਲ ਵਿੱਚ ਇੱਕ ਛੁਪੀ ਹੋਈ JavaScript ਫ਼ਾਈਲ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ 'ਤੇ, ਕਿਸੇ ਹੋਰ JavaScript ਫ਼ਾਈਲ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ। ਇਹ ਦੂਜੀ ਫਾਈਲ ਨੂੰ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕੰਮ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਇਸਦੀ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
GootBot ਦੀ ਵਰਤੋਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। CobaltStrike ਵਰਗੇ ਪੋਸਟ-ਸ਼ੋਸ਼ਣ ਫਰੇਮਵਰਕ 'ਤੇ ਭਰੋਸਾ ਕਰਨ ਦੀ ਬਜਾਏ, GootBot ਨੂੰ GootLoader ਦੀ ਲਾਗ ਤੋਂ ਬਾਅਦ ਇੱਕ ਪੇਲੋਡ ਵਜੋਂ ਨਿਯੁਕਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
GootBot ਨੂੰ ਕਮਾਂਡ ਅਤੇ ਨਿਯੰਤਰਣ ਉਦੇਸ਼ਾਂ ਲਈ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਵਰਡਪਰੈਸ ਸਾਈਟ ਨਾਲ ਕਨੈਕਟ ਕਰਨ ਦੇ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨ ਦੇ ਨਾਲ ਇੱਕ ਗੁੰਝਲਦਾਰ PowerShell ਸਕ੍ਰਿਪਟ ਵਜੋਂ ਦਰਸਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਇਸ ਕਨੈਕਸ਼ਨ ਦੁਆਰਾ ਹੈ ਕਿ GootBot ਨੂੰ ਹੋਰ ਹਦਾਇਤਾਂ ਮਿਲਦੀਆਂ ਹਨ, ਸਥਿਤੀ ਵਿੱਚ ਜਟਿਲਤਾ ਜੋੜਦੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਹਰੇਕ ਜਮ੍ਹਾ ਕੀਤਾ ਗਿਆ GootBot ਨਮੂਨਾ ਇੱਕ ਵੱਖਰਾ, ਹਾਰਡ-ਕੋਡ ਵਾਲਾ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਰਤਦਾ ਹੈ, ਜੋ ਇਸ ਨੂੰ ਖਤਰਨਾਕ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰੋਕਣ ਲਈ ਚੁਣੌਤੀ ਦਿੰਦਾ ਹੈ।
GootBot ਮਾਲਵੇਅਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ 'ਤੇ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਹਮਲਾਵਰ ਫੰਕਸ਼ਨ ਕਰ ਸਕਦਾ ਹੈ
ਅਟੈਕ ਚੇਨ ਦੇ ਦੂਜੇ ਪੜਾਅ ਦੇ ਦੌਰਾਨ, ਇੱਕ JavaScript ਕੰਪੋਨੈਂਟ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੇ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਜਵਾਬ ਵਿੱਚ, ਰਿਮੋਟ ਸਰਵਰ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਭੇਜਦਾ ਹੈ ਜੋ ਇੱਕ ਨਿਰੰਤਰ ਲੂਪ ਵਿੱਚ ਚੱਲਦਾ ਹੈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ਵੱਖ-ਵੱਖ ਪੇਲੋਡਾਂ ਨੂੰ ਵੰਡਣ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਇਹਨਾਂ ਪੇਲੋਡਾਂ ਵਿੱਚੋਂ ਇੱਕ GootBot ਹੈ, ਜੋ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਨਿਯਮਤ ਸੰਚਾਰ ਨੂੰ ਕਾਇਮ ਰੱਖਦਾ ਹੈ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ PowerShell ਟਾਸਕਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ HTTP POST ਬੇਨਤੀਆਂ ਦੁਆਰਾ ਨਤੀਜਿਆਂ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਹਰ 60 ਸਕਿੰਟਾਂ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ।
GootBot ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਮਾਣ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਖੋਜ ਕਰਨ ਤੋਂ ਲੈ ਕੇ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਤੱਕ, ਹਮਲੇ ਦੇ ਦਾਇਰੇ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਫੈਲਾਉਣਾ।
ਇਸ GootBot ਰੂਪ ਦਾ ਉਭਰਨਾ ਉਹਨਾਂ ਵਿਆਪਕ ਉਪਾਵਾਂ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਕੰਮ ਕਰਨ ਲਈ ਲੈਣ ਲਈ ਤਿਆਰ ਹਨ। ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ ਅਤੇ ਟੂਲਿੰਗ ਵਿੱਚ ਇਹ ਤਬਦੀਲੀ ਸਫਲਤਾ ਤੋਂ ਬਾਅਦ ਦੇ ਸ਼ੋਸ਼ਣ ਦੇ ਪੜਾਵਾਂ, ਖਾਸ ਤੌਰ 'ਤੇ GootLoader-ਸਬੰਧਿਤ ਰੈਨਸਮਵੇਅਰ ਐਫੀਲੀਏਟ ਗਤੀਵਿਧੀਆਂ ਨਾਲ ਸੰਬੰਧਿਤ ਜੋਖਮ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਉੱਚਾ ਕਰਦੀ ਹੈ।
