Malware GootBot
Ekspertët e sigurisë kibernetike kanë identifikuar një lloj të ri malware të njohur si GootBot, i cili shfaq aftësinë për të lehtësuar lëvizjen anësore brenda sistemeve të komprometuara duke shmangur zbulimin. Një analizë e detajuar e këtij kërcënimi tregon se është gjoja një përsëritje e re që rrjedh nga malware-i GootLoader i zbuluar më parë.
Në mënyrë domethënëse, grupi GootLoader e ka futur në mënyrë strategjike këtë bot të personalizuar në fazat e mëvonshme të fluksit të punës së sulmit në një përpjekje për të anashkaluar mekanizmat e zbulimit, veçanërisht kur përdoren mjete të disponueshme Command-and-Control (C2) si CobaltStrike ose RDP. Ky variant i sapo shfaqur karakterizohet nga natyra e tij e lehtë, por efikasiteti i dukshëm, duke u mundësuar aktorëve keqdashës të përhapen nëpër rrjete dhe të vendosin me shpejtësi ngarkesa shtesë.
GootLoader, siç sugjeron emri i tij, është i specializuar në shkarkimin e malware në fazat e mëvonshme pasi josh viktimat e mundshme përmes taktikave të helmimit të optimizimit të motorëve të kërkimit (SEO). Ky lloj malware është shoqëruar me një aktor kërcënimi të njohur si Hive0127, i identifikuar gjithashtu si UNC2565 në komunitetin e sigurisë kibernetike.
Sulmet GootBot Malware mund të përfshijnë rezultate të helmuara të kërkimit
Fushatat e zbuluara të GootBot kanë miratuar një strategji të re që përfshin rezultatet e kërkimit të helmuara nga SEO në lidhje me tema si kontratat, format ligjore dhe dokumente të tjera të lidhura me biznesin. Këto rezultate kërkimi të manipuluara i çojnë viktimat që nuk dyshojnë në faqet e internetit të komprometuara që janë krijuar në mënyrë gjeniale për t'iu ngjan forumeve legjitime. Këtu, viktimat mashtrohen duke shkarkuar një ngarkesë fillestare të fshehur me zgjuarsi brenda një skedari arkivi. Ky skedar arkivi përmban një skedar JavaScript të fshehur që, kur aktivizohet, merr një skedar tjetër JavaScript. Ky skedar i dytë ekzekutohet përmes një detyre të planifikuar, duke siguruar qëndrueshmërinë e tij brenda sistemit të komprometuar.
Përdorimi i GootBot nënkupton një ndryshim të dukshëm në taktika. Në vend që të mbështetet në kornizat e post-shfrytëzimit si CobaltStrike, GootBot përdoret si ngarkesë pas një infeksioni GootLoader.
GootBot përshkruhet si një skrip i turbullt PowerShell me funksionin kryesor të lidhjes me një sajt të komprometuar të WordPress për qëllime komandimi dhe kontrolli. Është përmes kësaj lidhjeje që GootBot merr udhëzime të mëtejshme, duke i shtuar kompleksitetit situatës. Veçanërisht, çdo mostër e depozituar GootBot përdor një server të veçantë, të koduar të fortë Command-and-Control (C2), duke e bërë atë të vështirë për të bllokuar trafikun e rrjetit me qëllim të keq.
Malware GootBot mund të kryejë funksione të ndryshme invazive në pajisjet e infektuara
Gjatë fazës së dytë të zinxhirit të sulmit, një komponent JavaScript ekzekuton një skript PowerShell me qëllim të mbledhjes së informacionit të sistemit dhe transmetimit të tij në një server të largët. Si përgjigje, serveri në distancë dërgon një skript PowerShell që funksionon në një lak të vazhdueshëm, duke i siguruar aktorit të kërcënimit aftësinë për të shpërndarë ngarkesa të ndryshme.
Një nga këto ngarkesa është GootBot, i cili mban komunikim të rregullt me serverin e tij Command-and-Control (C2), duke arritur çdo 60 sekonda për të marrë detyrat e PowerShell për ekzekutim dhe duke transmetuar rezultatet përmes kërkesave HTTP POST.
GootBot krenohet me një sërë aftësish, nga kryerja e zbulimit deri te mundësimi i lëvizjes anësore brenda mjedisit, duke zgjeruar në mënyrë efektive shtrirjen e sulmit.
Shfaqja e këtij varianti GootBot nënvizon masat e gjera që aktorët e kërcënimit janë të gatshëm të marrin për të shmangur zbulimin dhe për të vepruar në mënyrë të fshehtë. Ky ndryshim në taktika, teknika dhe mjete ngre ndjeshëm rrezikun që lidhet me fazat e suksesshme të pas-shfrytëzimit, veçanërisht ato që lidhen me aktivitetet e filialeve të ransomware-it të lidhura me GootLoader.
