Złośliwe oprogramowanie GootBot
Eksperci ds. cyberbezpieczeństwa zidentyfikowali nową odmianę złośliwego oprogramowania znaną jako GootBot, która wykazuje zdolność ułatwiania ruchu bocznego w zaatakowanych systemach, unikając jednocześnie wykrycia. Szczegółowa analiza tego zagrożenia wskazuje, że jest to rzekomo nowa wersja wywodząca się z wcześniej wykrytego szkodliwego oprogramowania GootLoader .
Co istotne, grupa GootLoader strategicznie wprowadziła tego niestandardowego bota na późniejsze etapy przepływu pracy podczas ataku, starając się ominąć mechanizmy wykrywania, szczególnie w przypadku stosowania łatwo dostępnych narzędzi dowodzenia i kontroli (C2), takich jak CobaltStrike lub RDP. Ten nowo powstały wariant charakteryzuje się niewielką wagą, ale godną uwagi skutecznością, umożliwiając złośliwym aktorom rozprzestrzenianie się w sieci i szybkie wdrażanie dodatkowych ładunków.
GootLoader, jak sama nazwa wskazuje, specjalizuje się w pobieraniu złośliwego oprogramowania w kolejnym etapie po zwabieniu potencjalnych ofiar poprzez taktykę zatruwania optymalizacji wyszukiwarek (SEO). Ten szczep złośliwego oprogramowania został powiązany z ugrupowaniem zagrażającym znanym jako Hive0127, identyfikowanym również przez społeczność cyberbezpieczeństwa jako UNC2565.
Ataki złośliwego oprogramowania GootBot mogą wiązać się z zatruciem wyników wyszukiwania
Odkryte kampanie GootBot przyjęły nową strategię obejmującą zatrute SEO wyniki wyszukiwania dotyczące tematów takich jak umowy, formularze prawne i inne dokumenty związane z biznesem. Te zmanipulowane wyniki wyszukiwania prowadzą niczego niepodejrzewające ofiary do zainfekowanych witryn internetowych, które zostały genialnie zaprojektowane tak, aby przypominały legalne fora. W tym przypadku ofiary są oszukiwane i pobierają początkowy ładunek sprytnie ukryty w pliku archiwum. Ten plik archiwum zawiera ukryty plik JavaScript, który po aktywacji pobiera inny plik JavaScript. Ten drugi plik jest wykonywany w ramach zaplanowanego zadania, zapewniając jego trwałość w zaatakowanym systemie.
Wykorzystanie GootBota oznacza wyraźną zmianę taktyki. Zamiast polegać na frameworkach poeksploatacyjnych, takich jak CobaltStrike, GootBot jest wykorzystywany jako ładunek po infekcji GootLoader.
GootBot jest opisywany jako zaciemniony skrypt PowerShell, którego główną funkcją jest łączenie się z zaatakowaną witryną WordPress w celach dowodzenia i kontroli. To dzięki temu połączeniu GootBot otrzymuje dalsze instrukcje, co komplikuje sytuację. Warto zauważyć, że każda zdeponowana próbka GootBota wykorzystuje odrębny, zakodowany na stałe serwer dowodzenia i kontroli (C2), co utrudnia skuteczne blokowanie złośliwego ruchu sieciowego.
Złośliwe oprogramowanie GootBot może wykonywać różne inwazyjne funkcje na zainfekowanych urządzeniach
Na drugim etapie łańcucha ataków komponent JavaScript wykonuje skrypt PowerShell w celu zebrania informacji o systemie i przesłania ich do zdalnego serwera. W odpowiedzi zdalny serwer wysyła skrypt PowerShell, który działa w ciągłej pętli, zapewniając ugrupowaniu zagrażającemu możliwość dystrybucji różnych ładunków.
Jednym z tych ładunków jest GootBot, który utrzymuje regularną komunikację ze swoim serwerem dowodzenia i kontroli (C2), sięgając co 60 sekund w celu otrzymania zadań programu PowerShell w celu wykonania i przesłania wyników za pośrednictwem żądań HTTP POST.
GootBot może poszczycić się szeregiem możliwości, od prowadzenia rozpoznania po umożliwienie ruchu bocznego w otoczeniu, skutecznie zwiększając zasięg ataku.
Pojawienie się tego wariantu GootBota podkreśla szeroko zakrojone środki, które przestępcy są skłonni podjąć, aby uniknąć wykrycia i działać w ukryciu. Ta zmiana w taktyce, technikach i narzędziach znacznie zwiększa ryzyko związane z pomyślnymi etapami po eksploracji, szczególnie tymi związanymi z działaniami partnerskimi związanymi z oprogramowaniem ransomware związanym z GootLoader.
