GootBot Malware

Стручњаци за сајбер безбедност идентификовали су нови сој злонамерног софтвера познат као ГоотБот, који показује способност да олакша бочно кретање унутар компромитованих система уз избегавање откривања. Детаљна анализа ове претње показује да је то наводно нова итерација изведена из претходно откривеног малвера ГоотЛоадер .

Значајно је да је група ГоотЛоадер стратешки увела овог прилагођеног бота у касније фазе свог тока рада напада у настојању да заобиђе механизме детекције, посебно када користи лако доступне алате за команду и контролу (Ц2) као што су ЦобалтСтрике или РДП. Ову новонасталу варијанту карактерише њена лагана природа, али вредна пажње ефикасности, омогућавајући злонамерним актерима да се шире кроз мреже и брзо распоређују додатни терет.

ГоотЛоадер, као што му име сугерише, специјализован је за преузимање малвера у наредној фази након што привуче потенцијалне жртве тактиком тровања оптимизацијом претраживача (СЕО). Овај сој злонамерног софтвера је повезан са претњом познатим као Хиве0127, такође идентификованом као УНЦ2565 у заједници сајбер безбедности.

Напади злонамерног софтвера ГоотБот могу укључити затроване резултате претраге

Откривене ГоотБот кампање су усвојиле нову стратегију која укључује СЕО затроване резултате претраге у вези са темама као што су уговори, правни облици и други документи у вези са пословањем. Ови изманипулисани резултати претраге воде несуђене жртве на компромитоване веб странице које су генијално дизајниране да личе на легитимне форуме. Овде су жртве преварене да преузму почетни корисни терет вешто скривен у архивској датотеци. Ова архивска датотека садржи скривену ЈаваСцрипт датотеку која, када је активирана, преузима другу ЈаваСцрипт датотеку. Ова друга датотека се извршава кроз заказани задатак, осигуравајући њену постојаност унутар компромитованог система.

Коришћење ГоотБот-а означава значајан помак у тактици. Уместо да се ослања на оквире након експлоатације као што је ЦобалтСтрике, ГоотБот се користи као терет након инфекције ГоотЛоадер-ом.

ГоотБот је описан као замагљена ПоверСхелл скрипта са примарном функцијом повезивања са компромитованом ВордПресс локацијом у сврху командовања и контроле. Кроз ову везу ГоотБот добија даља упутства, додајући сложеност ситуацији. Значајно је да сваки депоновани ГоотБот узорак користи посебан, чврсто кодиран сервер за команду и контролу (Ц2), што чини изазов за ефикасно блокирање злонамерног мрежног саобраћаја.

Злонамерни софтвер ГоотБот може да обавља различите инвазивне функције на зараженим уређајима

Током друге фазе ланца напада, ЈаваСцрипт компонента извршава ПоверСхелл скрипту са сврхом прикупљања системских информација и преношења на удаљени сервер. Као одговор, удаљени сервер шаље ПоверСхелл скрипту која ради у сталној петљи, пружајући актеру претње могућност дистрибуције различитих корисних оптерећења.

Један од ових корисних оптерећења је ГоотБот, који одржава редовну комуникацију са својим сервером за команду и контролу (Ц2), посежући сваких 60 секунди да би примио ПоверСхелл задатке за извршење и пренео резултате путем ХТТП ПОСТ захтева.

ГоотБот се може похвалити низом могућности, од извиђања до омогућавања бочног кретања унутар окружења, ефикасно проширујући обим напада.

Појава ове ГоотБот варијанте наглашава опсежне мере које су актери претњи спремни да предузму да би избегли откривање и радили прикривено. Ова промена у тактикама, техникама и алатима значајно подиже ризик повезан са успешним фазама након експлоатације, посебно онима које се односе на активности придруженог рансомваре-а повезаног са ГоотЛоадер-ом.