GootBot మాల్వేర్

సైబర్‌ సెక్యూరిటీ నిపుణులు గూట్‌బాట్ అని పిలువబడే ఒక నవల మాల్వేర్ జాతిని గుర్తించారు, ఇది గుర్తించకుండా తప్పించుకుంటూ రాజీపడిన సిస్టమ్‌లలో పార్శ్వ కదలికను సులభతరం చేసే సామర్థ్యాన్ని ప్రదర్శిస్తుంది. ఈ ముప్పు యొక్క వివరణాత్మక విశ్లేషణ ఇది గతంలో కనుగొనబడిన GootLoader మాల్వేర్ నుండి ఉద్భవించిన కొత్త పునరావృతమని సూచిస్తుంది.

విశేషమేమిటంటే, GootLoader సమూహం వ్యూహాత్మకంగా ఈ అనుకూల బాట్‌ను వారి దాడి వర్క్‌ఫ్లో యొక్క తరువాతి దశల్లో గుర్తించే మెకానిజమ్‌లను తప్పించుకునే ప్రయత్నంలో ప్రవేశపెట్టింది, ప్రత్యేకించి CobaltStrike లేదా RDP వంటి సులభంగా అందుబాటులో ఉండే కమాండ్-అండ్-కంట్రోల్ (C2) సాధనాలను ఉపయోగిస్తున్నప్పుడు. కొత్తగా ఆవిర్భవించిన ఈ వేరియంట్ దాని తేలికపాటి స్వభావాన్ని కలిగి ఉంటుంది, అయితే చెప్పుకోదగ్గ సమర్థత, హానికరమైన నటులు నెట్‌వర్క్‌ల ద్వారా ప్రచారం చేయడానికి మరియు అదనపు పేలోడ్‌లను వేగంగా అమలు చేయడానికి వీలు కల్పిస్తుంది.

GootLoader, దాని పేరు సూచించినట్లుగా, శోధన ఇంజిన్ ఆప్టిమైజేషన్ (SEO) విషపూరిత వ్యూహాల ద్వారా సంభావ్య బాధితులను ప్రలోభపెట్టిన తర్వాత తదుపరి దశ మాల్వేర్‌ను డౌన్‌లోడ్ చేయడంలో ప్రత్యేకత కలిగి ఉంది. సైబర్‌ సెక్యూరిటీ కమ్యూనిటీలో UNC2565గా గుర్తించబడిన Hive0127 అని పిలువబడే ముప్పు నటుడితో ఈ మాల్వేర్ స్ట్రెయిన్ అనుబంధించబడింది.

GootBot మాల్వేర్ దాడులు విషపూరిత శోధన ఫలితాలను కలిగి ఉండవచ్చు

కనుగొనబడిన GootBot ప్రచారాలు ఒప్పందాలు, చట్టపరమైన రూపాలు మరియు ఇతర వ్యాపార సంబంధిత పత్రాల వంటి అంశాలకు సంబంధించిన SEO-విషపూరిత శోధన ఫలితాలతో కూడిన కొత్త వ్యూహాన్ని అనుసరించాయి. ఈ తారుమారు చేసిన శోధన ఫలితాలు సందేహించని బాధితులను రాజీపడిన వెబ్‌సైట్‌లకు దారితీస్తాయి, అవి చట్టబద్ధమైన ఫోరమ్‌లను పోలి ఉండేలా తెలివిగా రూపొందించబడ్డాయి. ఇక్కడ, బాధితులు ఆర్కైవ్ ఫైల్‌లో తెలివిగా దాచిపెట్టిన ప్రారంభ పేలోడ్‌ను డౌన్‌లోడ్ చేయడం ద్వారా మోసగించబడ్డారు. ఈ ఆర్కైవ్ ఫైల్ దాచిన జావాస్క్రిప్ట్ ఫైల్‌ను కలిగి ఉంది, అది యాక్టివేట్ అయినప్పుడు, మరొక జావాస్క్రిప్ట్ ఫైల్‌ను తిరిగి పొందుతుంది. ఈ రెండవ ఫైల్ షెడ్యూల్ చేయబడిన పని ద్వారా అమలు చేయబడుతుంది, ఇది రాజీపడిన సిస్టమ్‌లో దాని నిలకడను నిర్ధారిస్తుంది.

GootBot యొక్క వినియోగం వ్యూహాలలో చెప్పుకోదగ్గ మార్పును సూచిస్తుంది. CobaltStrike వంటి పోస్ట్-ఎక్స్‌ప్లోయిటేషన్ ఫ్రేమ్‌వర్క్‌లపై ఆధారపడే బదులు, GootBot గూట్‌లోడర్ ఇన్‌ఫెక్షన్ తర్వాత పేలోడ్‌గా ఉపయోగించబడుతుంది.

GootBot అనేది కమాండ్ మరియు కంట్రోల్ ప్రయోజనాల కోసం రాజీపడిన WordPress సైట్‌కి కనెక్ట్ చేసే ప్రాథమిక విధితో అస్పష్టమైన PowerShell స్క్రిప్ట్‌గా వర్ణించబడింది. ఈ కనెక్షన్ ద్వారానే GootBot పరిస్థితికి సంక్లిష్టతను జోడించి తదుపరి సూచనలను అందుకుంటుంది. ముఖ్యంగా, డిపాజిట్ చేయబడిన ప్రతి గూట్‌బాట్ నమూనా ఒక ప్రత్యేకమైన, హార్డ్-కోడెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను ఉపయోగిస్తుంది, హానికరమైన నెట్‌వర్క్ ట్రాఫిక్‌ను సమర్థవంతంగా నిరోధించడం సవాలుగా మారుతుంది.

GootBot మాల్వేర్ సోకిన పరికరాలపై వివిధ ఇన్వాసివ్ ఫంక్షన్‌లను చేయగలదు

దాడి గొలుసు యొక్క రెండవ దశలో, సిస్టమ్ సమాచారాన్ని సేకరించి రిమోట్ సర్వర్‌కు ప్రసారం చేసే ఉద్దేశ్యంతో JavaScript భాగం పవర్‌షెల్ స్క్రిప్ట్‌ను అమలు చేస్తుంది. ప్రతిస్పందనగా, రిమోట్ సర్వర్ పవర్‌షెల్ స్క్రిప్ట్‌ను పంపుతుంది, అది స్థిరమైన లూప్‌లో నడుస్తుంది, వివిధ పేలోడ్‌లను పంపిణీ చేసే సామర్థ్యాన్ని ముప్పు నటుడికి అందిస్తుంది.

ఈ పేలోడ్‌లలో ఒకటి GootBot, ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో సాధారణ కమ్యూనికేషన్‌ను నిర్వహిస్తుంది, అమలు కోసం పవర్‌షెల్ టాస్క్‌లను స్వీకరించడానికి ప్రతి 60 సెకన్లకు చేరుకుంటుంది మరియు HTTP POST అభ్యర్థనల ద్వారా ఫలితాలను ప్రసారం చేస్తుంది.

గూట్‌బాట్ నిఘా నిర్వహించడం నుండి పర్యావరణంలో పార్శ్వ కదలికను ప్రారంభించడం, దాడి యొక్క పరిధిని సమర్థవంతంగా విస్తరించడం వరకు అనేక రకాల సామర్థ్యాలను కలిగి ఉంది.

ఈ గూట్‌బాట్ వేరియంట్ యొక్క ఆవిర్భావం బెదిరింపు నటులు గుర్తింపును తప్పించుకోవడానికి మరియు రహస్యంగా ఆపరేట్ చేయడానికి సిద్ధంగా ఉన్న విస్తృతమైన చర్యలను నొక్కి చెబుతుంది. వ్యూహాలు, సాంకేతికతలు మరియు సాధనాల్లో ఈ మార్పు విజయవంతమైన పోస్ట్-ఎక్స్‌ప్లోయిటేషన్ దశలకు సంబంధించిన ప్రమాదాన్ని గణనీయంగా పెంచుతుంది, ముఖ్యంగా GootLoader-అనుబంధ ransomware అనుబంధ కార్యకలాపాలకు సంబంధించినవి.