Malware GootBot
Experții în securitate cibernetică au identificat o nouă tulpină de malware cunoscută sub numele de GootBot, care prezintă capacitatea de a facilita mișcarea laterală în sistemele compromise, evitând în același timp detectarea. O analiză detaliată a acestei amenințări indică faptul că este aparent o nouă iterație derivată din malware-ul GootLoader descoperit anterior.
În mod semnificativ, grupul GootLoader a introdus strategic acest bot personalizat în etapele ulterioare ale fluxului de lucru de atac, într-un efort de a evita mecanismele de detectare, în special atunci când utilizează instrumente de comandă și control (C2) ușor disponibile, cum ar fi CobaltStrike sau RDP. Această variantă nou emergentă se caracterizează prin natura sa ușoară, dar prin eficacitatea remarcabilă, permițând actorilor rău intenționați să se propage prin rețele și să implementeze rapid sarcini utile suplimentare.
GootLoader, după cum sugerează și numele, este specializat în descărcarea de programe malware din etapele ulterioare, după ce a atras potențialele victime prin tactici de otrăvire de optimizare a motorului de căutare (SEO). Această tulpină de malware a fost asociată cu un actor de amenințare cunoscut sub numele de Hive0127, identificat și ca UNC2565 în comunitatea de securitate cibernetică.
Atacurile malware GootBot pot implica rezultate de căutare otrăvite
Campaniile GootBot descoperite au adoptat o nouă strategie care implică rezultate de căutare otrăvite de SEO legate de subiecte precum contracte, forme juridice și alte documente legate de afaceri. Aceste rezultate de căutare manipulate conduc victime nebănuitoare către site-uri web compromise care au fost concepute ingenios pentru a semăna cu forumuri legitime. Aici, victimele sunt înșelate să descarce o sarcină utilă inițială ascunsă inteligent într-un fișier de arhivă. Acest fișier arhivă conține un fișier JavaScript ascuns care, atunci când este activat, preia un alt fișier JavaScript. Acest al doilea fișier este executat printr-o sarcină programată, asigurând persistența acestuia în cadrul sistemului compromis.
Utilizarea GootBot semnifică o schimbare notabilă a tacticii. În loc să se bazeze pe cadre post-exploatare precum CobaltStrike, GootBot este folosit ca sarcină utilă în urma unei infecții cu GootLoader.
GootBot este descris ca un script PowerShell ofuscat cu funcția principală de conectare la un site WordPress compromis în scopuri de comandă și control. Prin această conexiune GootBot primește instrucțiuni suplimentare, adăugând complexitate situației. În special, fiecare eșantion GootBot depus folosește un server de comandă și control (C2) distinct, codificat dur, ceea ce face dificilă blocarea eficientă a traficului de rețea rău intenționat.
Programul malware GootBot poate efectua diverse funcții invazive pe dispozitivele infectate
În timpul celei de-a doua etape a lanțului de atac, o componentă JavaScript execută un script PowerShell cu scopul de a colecta informații despre sistem și de a le transmite către un server la distanță. Ca răspuns, serverul de la distanță trimite un script PowerShell care rulează într-o buclă constantă, oferind actorului amenințării capacitatea de a distribui diferite sarcini utile.
Una dintre aceste sarcini utile este GootBot, care menține o comunicare regulată cu serverul său Command-and-Control (C2), ajungând la fiecare 60 de secunde pentru a primi sarcini PowerShell pentru execuție și transmiterea rezultatelor prin solicitări HTTP POST.
GootBot se mândrește cu o gamă largă de capabilități, de la efectuarea de recunoașteri până la facilitarea mișcării laterale în mediul înconjurător, extinzând în mod eficient domeniul de aplicare al atacului.
Apariția acestei variante GootBot subliniază măsurile extinse pe care actorii amenințărilor sunt dispuși să le ia pentru a evita detectarea și a opera pe ascuns. Această schimbare în tactici, tehnici și instrumente crește semnificativ riscul asociat cu etapele de succes post-exploatare, în special cele legate de activitățile afiliate ransomware asociate cu GootLoader.
