GootBot skadlig programvara
Cybersäkerhetsexperter har identifierat en ny skadlig kod känd som GootBot, som uppvisar förmågan att underlätta sidorörelser inom komprometterade system samtidigt som de undviker upptäckt. En detaljerad analys av detta hot indikerar att det till synes är en ny iteration som härrör från den tidigare upptäckta GootLoader -skadlig programvara.
Betecknande nog har GootLoader-gruppen strategiskt introducerat den här anpassade boten i de senare stadierna av deras attackarbetsflöde i ett försök att kringgå detekteringsmekanismer, särskilt när de använder lättillgängliga Command-and-Control (C2)-verktyg som CobaltStrike eller RDP. Denna nyligen framväxande variant kännetecknas av sin lätta natur men anmärkningsvärda effektivitet, vilket gör det möjligt för illvilliga aktörer att spridas genom nätverk och snabbt distribuera ytterligare nyttolaster.
GootLoader, som namnet antyder, specialiserar sig på att ladda ner skadlig programvara i efterföljande skede efter att ha lockat potentiella offer genom förgiftningstaktik för sökmotoroptimering (SEO). Denna skadliga stam har associerats med en hotaktör känd som Hive0127, även identifierad som UNC2565 i cybersäkerhetsgemenskapen.
GootBot-attackerna med skadlig programvara kan involvera förgiftade sökresultat
De upptäckta GootBot-kampanjerna har antagit en ny strategi som involverar SEO-förgiftade sökresultat relaterade till ämnen som kontrakt, juridiska former och andra affärsrelaterade dokument. Dessa manipulerade sökresultat leder intet ont anande offer till komprometterade webbplatser som har designats genialiskt för att likna legitima forum. Här luras offren att ladda ner en första nyttolast som är smart gömd i en arkivfil. Den här arkivfilen innehåller en dold JavaScript-fil som, när den är aktiverad, hämtar en annan JavaScript-fil. Denna andra fil exekveras genom en schemalagd uppgift, vilket säkerställer att den finns kvar i det komprometterade systemet.
Användningen av GootBot innebär en anmärkningsvärd förändring i taktik. Istället för att förlita sig på ramverk efter exploatering som CobaltStrike, används GootBot som en nyttolast efter en GootLoader-infektion.
GootBot beskrivs som ett obfuskerat PowerShell-skript med den primära funktionen att ansluta till en komprometterad WordPress-webbplats för kommando- och kontrolländamål. Det är genom denna koppling som GootBot får ytterligare instruktioner, vilket gör situationen mer komplex. Noterbart är att varje deponerad GootBot-exempel använder en distinkt, hårdkodad Command-and-Control-server (C2), vilket gör det svårt att blockera skadlig nätverkstrafik på ett effektivt sätt.
GootBot Malware kan utföra olika invasiva funktioner på infekterade enheter
Under det andra steget av attackkedjan kör en JavaScript-komponent ett PowerShell-skript i syfte att samla in systeminformation och överföra den till en fjärrserver. Som svar skickar fjärrservern ett PowerShell-skript som körs i en konstant loop, vilket ger hotaktören möjlighet att distribuera olika nyttolaster.
En av dessa nyttolaster är GootBot, som upprätthåller regelbunden kommunikation med sin Command-and-Control-server (C2), som når ut var 60:e sekund för att ta emot PowerShell-uppgifter för exekvering och överföring av resultaten via HTTP POST-förfrågningar.
GootBot har en rad möjligheter, från att utföra spaning till att möjliggöra sidorörelse inom miljön, vilket effektivt utökar attackens omfattning.
Uppkomsten av denna GootBot-variant understryker de omfattande åtgärder som hotaktörer är villiga att vidta för att undvika upptäckt och agera i hemlighet. Denna förändring i taktik, tekniker och verktyg höjer avsevärt risken förknippad med framgångsrika stadier efter exploatering, särskilt de som är relaterade till GootLoader-associerade ransomware affiliate-aktiviteter.
