GootBot Malware
Strokovnjaki za kibernetsko varnost so identificirali novo različico zlonamerne programske opreme, znano kot GootBot, ki kaže sposobnost olajšanja bočnega gibanja znotraj ogroženih sistemov, medtem ko se izmika odkrivanju. Podrobna analiza te grožnje kaže, da gre domnevno za novo ponovitev, ki izhaja iz predhodno odkrite zlonamerne programske opreme GootLoader .
Pomembno je, da je skupina GootLoader strateško uvedla tega bota po meri v kasnejše faze svojega delovnega toka napada, da bi se izognila mehanizmom zaznavanja, zlasti pri uporabi takoj dostopnih orodij za ukazovanje in nadzor (C2), kot sta CobaltStrike ali RDP. Za novo nastalo različico je značilna lahka narava, a omembe vredna učinkovitost, ki zlonamernim akterjem omogoča širjenje po omrežjih in hitro nameščanje dodatnega tovora.
GootLoader, kot pove že njegovo ime, je specializiran za prenos zlonamerne programske opreme v poznejših fazah, potem ko pritegne potencialne žrtve s taktikami zastrupitve z optimizacijo iskalnikov (SEO). Ta vrsta zlonamerne programske opreme je bila povezana z akterjem grožnje, znanim kot Hive0127, ki je v skupnosti za kibernetsko varnost identificiran tudi kot UNC2565.
Napadi zlonamerne programske opreme GootBot lahko vključujejo zastrupljene rezultate iskanja
Odkrite kampanje GootBot so sprejele novo strategijo, ki vključuje rezultate iskanja, zastrupljene z SEO, povezane s temami, kot so pogodbe, pravni obrazci in drugi dokumenti, povezani s poslovanjem. Ti manipulirani rezultati iskanja vodijo nič hudega sluteče žrtve do ogroženih spletnih mest, ki so bila domiselno zasnovana tako, da spominjajo na legitimne forume. Tu so žrtve zavedene, da prenesejo začetni tovor, ki je spretno skrit v arhivski datoteki. Ta arhivska datoteka vsebuje skrito datoteko JavaScript, ki ob aktiviranju pridobi drugo datoteko JavaScript. Ta druga datoteka se izvaja prek načrtovanega opravila, kar zagotavlja njeno obstojnost znotraj ogroženega sistema.
Uporaba GootBot pomeni opazen premik v taktiki. Namesto da bi se zanašal na okvire po izkoriščanju, kot je CobaltStrike, se GootBot uporabi kot koristni tovor po okužbi GootLoader.
GootBot je opisan kot zakrit skript PowerShell s primarno funkcijo povezovanja z ogroženim spletnim mestom WordPress za namene ukazovanja in nadzora. Preko te povezave GootBot prejme nadaljnja navodila, kar dodatno zaplete situacijo. Predvsem vsak deponiran vzorec GootBot uporablja poseben, trdo kodiran strežnik za ukazovanje in nadzor (C2), zaradi česar je učinkovito blokiranje zlonamernega omrežnega prometa težko.
Zlonamerna programska oprema GootBot lahko na okuženih napravah izvaja različne invazivne funkcije
Med drugo stopnjo verige napadov komponenta JavaScript izvede skript PowerShell z namenom zbiranja informacij o sistemu in njihovega prenosa na oddaljeni strežnik. V odgovor oddaljeni strežnik pošlje skript PowerShell, ki teče v stalni zanki, kar povzročitelju grožnje omogoča distribucijo različnih obremenitev.
Ena od teh uporabnih obremenitev je GootBot, ki vzdržuje redno komunikacijo s svojim strežnikom Command-and-Control (C2), ki se vsakih 60 sekund obrne nanj, da prejme naloge PowerShell za izvedbo in prenaša rezultate prek zahtev HTTP POST.
GootBot se ponaša z vrsto zmogljivosti, od izvajanja izvidovanja do omogočanja bočnega gibanja v okolju, s čimer učinkovito razširi obseg napada.
Pojav te različice GootBot poudarja obsežne ukrepe, ki so jih akterji groženj pripravljeni sprejeti, da bi se izognili odkritju in delovali prikrito. Ta premik v taktikah, tehnikah in orodjih bistveno poveča tveganje, povezano z uspešnimi stopnjami po izkoriščanju, zlasti tistimi, ki so povezane z dejavnostmi podružnic izsiljevalske programske opreme, povezane z GootLoaderjem.
