Вредоносное ПО GootBot

Эксперты по кибербезопасности выявили новый штамм вредоносного ПО, известный как GootBot, который демонстрирует способность облегчать горизонтальное перемещение внутри скомпрометированных систем, избегая при этом обнаружения. Детальный анализ этой угрозы показывает, что она якобы является новой итерацией, созданной на основе ранее обнаруженной вредоносной программы GootLoader .

Примечательно, что группа GootLoader стратегически внедрила этого специального бота на более поздних этапах своего рабочего процесса атаки, пытаясь обойти механизмы обнаружения, особенно при использовании легкодоступных инструментов управления и контроля (C2), таких как CobaltStrike или RDP. Этот недавно появившийся вариант отличается своей легкостью, но заслуживает внимания и эффективностью, позволяя злоумышленникам распространяться по сетям и быстро развертывать дополнительные полезные нагрузки.

GootLoader, как следует из названия, специализируется на загрузке вредоносного ПО последующей стадии после привлечения потенциальных жертв с помощью тактики отравления поисковой оптимизацией (SEO). Этот штамм вредоносного ПО был связан с злоумышленником, известным как Hive0127, который в сообществе кибербезопасности также известен как UNC2565.

Атаки вредоносного ПО GootBot могут привести к искажению результатов поиска

Обнаруженные кампании GootBot приняли новую стратегию, включающую SEO-отравленные результаты поиска, связанные с такими темами, как контракты, юридические формы и другие документы, связанные с бизнесом. Эти манипулируемые результаты поиска приводят ничего не подозревающих жертв на взломанные веб-сайты, которые были изобретательно спроектированы так, чтобы напоминать законные форумы. Здесь жертв обманом заставляют загрузить первоначальную полезную нагрузку, хитро спрятанную в архивном файле. Этот архивный файл содержит скрытый файл JavaScript, который при активации извлекает другой файл JavaScript. Этот второй файл выполняется посредством запланированной задачи, обеспечивая его сохранение в скомпрометированной системе.

Использование GootBot означает заметный сдвиг в тактике. Вместо того, чтобы полагаться на системы пост-эксплуатации, такие как CobaltStrike, GootBot используется в качестве полезной нагрузки после заражения GootLoader.

GootBot описывается как запутанный скрипт PowerShell, основной функцией которого является подключение к взломанному сайту WordPress для целей управления и контроля. Именно через это соединение GootBot получает дальнейшие инструкции, что усложняет ситуацию. Примечательно, что каждый депонированный образец GootBot использует отдельный, жестко запрограммированный сервер управления и контроля (C2), что затрудняет эффективное блокирование вредоносного сетевого трафика.

Вредоносное ПО GootBot может выполнять различные инвазивные функции на зараженных устройствах

На втором этапе цепочки атаки компонент JavaScript выполняет сценарий PowerShell с целью сбора системной информации и передачи ее на удаленный сервер. В ответ удаленный сервер отправляет сценарий PowerShell, который выполняется в постоянном цикле, предоставляя злоумышленнику возможность распределять различные полезные данные.

Одной из таких полезных нагрузок является GootBot, который поддерживает регулярную связь со своим сервером управления и контроля (C2), обращаясь каждые 60 секунд для получения задач PowerShell для выполнения и передавая результаты через запросы HTTP POST.

GootBot может похвастаться широким спектром возможностей: от ведения разведки до обеспечения поперечного перемещения внутри окружающей среды, что эффективно расширяет масштаб атаки.

Появление этого варианта GootBot подчеркивает масштабные меры, которые злоумышленники готовы принять, чтобы избежать обнаружения и действовать скрытно. Этот сдвиг в тактике, методах и инструментах значительно повышает риск, связанный с успешными этапами пост-эксплуатации, особенно теми, которые связаны с деятельностью партнерских программ-вымогателей, связанных с GootLoader.