GootBot மால்வேர்

சைபர் பாதுகாப்பு வல்லுநர்கள் GootBot எனப்படும் புதிய மால்வேர் திரிபுகளை அடையாளம் கண்டுள்ளனர், இது கண்டறிதலைத் தவிர்க்கும் போது சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் பக்கவாட்டு இயக்கத்தை எளிதாக்கும் திறனை வெளிப்படுத்துகிறது. இந்த அச்சுறுத்தலின் விரிவான பகுப்பாய்வு, இது முன்னர் கண்டுபிடிக்கப்பட்ட GootLoader தீம்பொருளிலிருந்து பெறப்பட்ட ஒரு புதிய மறு செய்கையாகும் என்பதைக் குறிக்கிறது.

குறிப்பாக, CobaltStrike அல்லது RDP போன்ற எளிதில் கிடைக்கக்கூடிய கட்டளை மற்றும் கட்டுப்பாடு (C2) கருவிகளைப் பயன்படுத்தும் போது, கண்டறிதல் பொறிமுறைகளைத் தவிர்க்கும் முயற்சியில், GootLoader குழுவானது இந்த தனிப்பயன் போட்டை அவர்களின் தாக்குதல் பணிப்பாய்வுகளின் பிற்கால கட்டங்களில் மூலோபாயமாக அறிமுகப்படுத்தியுள்ளது. புதிதாக வெளிவரும் இந்த மாறுபாடு அதன் இலகுரக தன்மையால் வகைப்படுத்தப்படுகிறது, ஆனால் குறிப்பிடத்தக்க செயல்திறனுடன், தீங்கிழைக்கும் நடிகர்கள் நெட்வொர்க்குகள் மூலம் பிரச்சாரம் செய்வதற்கும் கூடுதல் பேலோடுகளை விரைவாக வரிசைப்படுத்துவதற்கும் உதவுகிறது.

GootLoader, அதன் பெயர் குறிப்பிடுவது போல, தேடுபொறி உகப்பாக்கம் (SEO) நச்சு உத்திகள் மூலம் சாத்தியமான பாதிக்கப்பட்டவர்களை கவர்ந்திழுத்த பிறகு, அடுத்த கட்ட தீம்பொருளைப் பதிவிறக்குவதில் நிபுணத்துவம் பெற்றது. இந்த மால்வேர் திரிபு Hive0127 எனப்படும் அச்சுறுத்தல் நடிகருடன் தொடர்புடையது, இது சைபர் பாதுகாப்பு சமூகத்தில் UNC2565 என்றும் அடையாளம் காணப்பட்டுள்ளது.

GootBot மால்வேர் தாக்குதல்கள் விஷம் கலந்த தேடல் முடிவுகளை உள்ளடக்கியிருக்கலாம்

கண்டுபிடிக்கப்பட்ட GootBot பிரச்சாரங்கள் ஒப்பந்தங்கள், சட்டப் படிவங்கள் மற்றும் பிற வணிகம் தொடர்பான ஆவணங்கள் போன்ற தலைப்புகளுடன் தொடர்புடைய SEO-விஷம் கலந்த தேடல் முடிவுகளை உள்ளடக்கிய புதிய உத்தியை ஏற்றுக்கொண்டன. இந்த கையாளப்பட்ட தேடல் முடிவுகள் சந்தேகத்திற்கு இடமின்றி பாதிக்கப்பட்டவர்களை சமரசம் செய்யப்பட்ட வலைத்தளங்களுக்கு இட்டுச் செல்கின்றன, அவை முறையான மன்றங்களைப் போல புத்திசாலித்தனமாக வடிவமைக்கப்பட்டுள்ளன. இங்கே, காப்பகக் கோப்பிற்குள் புத்திசாலித்தனமாக மறைத்து வைக்கப்பட்ட ஆரம்ப பேலோடைப் பதிவிறக்கம் செய்து பாதிக்கப்பட்டவர்கள் ஏமாற்றப்படுகிறார்கள். இந்தக் காப்பகக் கோப்பில் மறைக்கப்பட்ட ஜாவாஸ்கிரிப்ட் கோப்பு உள்ளது, அது செயல்படுத்தப்படும் போது, மற்றொரு ஜாவாஸ்கிரிப்ட் கோப்பை மீட்டெடுக்கிறது. இந்த இரண்டாவது கோப்பு திட்டமிடப்பட்ட பணியின் மூலம் செயல்படுத்தப்படுகிறது, சமரசம் செய்யப்பட்ட கணினியில் அதன் நிலைத்தன்மையை உறுதி செய்கிறது.

GootBot இன் பயன்பாடு தந்திரோபாயங்களில் குறிப்பிடத்தக்க மாற்றத்தைக் குறிக்கிறது. CobaltStrike போன்ற சுரண்டலுக்குப் பிந்தைய கட்டமைப்பை நம்புவதற்குப் பதிலாக, GootBot ஆனது GootLoader தொற்றுக்குப் பிறகு பேலோடாகப் பயன்படுத்தப்படுகிறது.

GootBot கட்டளை மற்றும் கட்டுப்பாட்டு நோக்கங்களுக்காக சமரசம் செய்யப்பட்ட வேர்ட்பிரஸ் தளத்துடன் இணைக்கும் முதன்மை செயல்பாடுடன் ஒரு தெளிவற்ற பவர்ஷெல் ஸ்கிரிப்டாக விவரிக்கப்படுகிறது. இந்த இணைப்பின் மூலம் தான் GootBot மேலும் வழிமுறைகளைப் பெறுகிறது, இது நிலைமையை சிக்கலாக்குகிறது. குறிப்பிடத்தக்க வகையில், டெபாசிட் செய்யப்பட்ட ஒவ்வொரு GootBot மாதிரியும் ஒரு தனித்துவமான, கடின-குறியீடு செய்யப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்தைப் பயன்படுத்துகிறது, இது தீங்கிழைக்கும் பிணைய போக்குவரத்தைத் திறம்பட தடுக்க சவாலாக உள்ளது.

GootBot மால்வேர் பாதிக்கப்பட்ட சாதனங்களில் பல்வேறு ஊடுருவும் செயல்பாடுகளைச் செய்யலாம்

தாக்குதல் சங்கிலியின் இரண்டாம் கட்டத்தில், ஒரு ஜாவாஸ்கிரிப்ட் கூறு ஒரு பவர்ஷெல் ஸ்கிரிப்டை இயக்குகிறது, இது கணினி தகவலைச் சேகரித்து தொலை சேவையகத்திற்கு அனுப்பும் நோக்கத்துடன். பதிலுக்கு, ரிமோட் சர்வர் ஒரு பவர்ஷெல் ஸ்கிரிப்டை அனுப்புகிறது, இது ஒரு நிலையான சுழற்சியில் இயங்குகிறது, இது பல்வேறு பேலோடுகளை விநியோகிக்கும் திறனை அச்சுறுத்தும் நடிகருக்கு வழங்குகிறது.

இந்த பேலோடுகளில் ஒன்று GootBot ஆகும், இது அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் வழக்கமான தகவல்தொடர்புகளை பராமரிக்கிறது, ஒவ்வொரு 60 வினாடிகளிலும் பவர்ஷெல் பணிகளைப் பெறுகிறது மற்றும் HTTP POST கோரிக்கைகள் மூலம் முடிவுகளை அனுப்புகிறது.

GootBot உளவு பார்ப்பதில் இருந்து சுற்றுச்சூழலுக்குள் பக்கவாட்டு இயக்கத்தை செயல்படுத்துவது, தாக்குதலின் நோக்கத்தை திறம்பட விரிவுபடுத்துவது வரை பலவிதமான திறன்களைக் கொண்டுள்ளது.

இந்த GootBot மாறுபாட்டின் தோற்றம், அச்சுறுத்தல் நடிகர்கள் கண்டறிதலைத் தவிர்ப்பதற்கும் இரகசியமாகச் செயல்படுவதற்கும் தயாராக இருக்கும் விரிவான நடவடிக்கைகளை அடிக்கோடிட்டுக் காட்டுகிறது. தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் கருவிகளின் இந்த மாற்றம், வெற்றிகரமான பிந்தைய சுரண்டல் நிலைகளுடன் தொடர்புடைய ஆபத்தை கணிசமாக உயர்த்துகிறது, குறிப்பாக GootLoader-தொடர்புடைய ransomware தொடர்புடைய செயல்பாடுகள்.