GootBot మాల్వేర్
సైబర్ సెక్యూరిటీ నిపుణులు గూట్బాట్ అని పిలువబడే ఒక నవల మాల్వేర్ జాతిని గుర్తించారు, ఇది గుర్తించకుండా తప్పించుకుంటూ రాజీపడిన సిస్టమ్లలో పార్శ్వ కదలికను సులభతరం చేసే సామర్థ్యాన్ని ప్రదర్శిస్తుంది. ఈ ముప్పు యొక్క వివరణాత్మక విశ్లేషణ ఇది గతంలో కనుగొనబడిన GootLoader మాల్వేర్ నుండి ఉద్భవించిన కొత్త పునరావృతమని సూచిస్తుంది.
విశేషమేమిటంటే, GootLoader సమూహం వ్యూహాత్మకంగా ఈ అనుకూల బాట్ను వారి దాడి వర్క్ఫ్లో యొక్క తరువాతి దశల్లో గుర్తించే మెకానిజమ్లను తప్పించుకునే ప్రయత్నంలో ప్రవేశపెట్టింది, ప్రత్యేకించి CobaltStrike లేదా RDP వంటి సులభంగా అందుబాటులో ఉండే కమాండ్-అండ్-కంట్రోల్ (C2) సాధనాలను ఉపయోగిస్తున్నప్పుడు. కొత్తగా ఆవిర్భవించిన ఈ వేరియంట్ దాని తేలికపాటి స్వభావాన్ని కలిగి ఉంటుంది, అయితే చెప్పుకోదగ్గ సమర్థత, హానికరమైన నటులు నెట్వర్క్ల ద్వారా ప్రచారం చేయడానికి మరియు అదనపు పేలోడ్లను వేగంగా అమలు చేయడానికి వీలు కల్పిస్తుంది.
GootLoader, దాని పేరు సూచించినట్లుగా, శోధన ఇంజిన్ ఆప్టిమైజేషన్ (SEO) విషపూరిత వ్యూహాల ద్వారా సంభావ్య బాధితులను ప్రలోభపెట్టిన తర్వాత తదుపరి దశ మాల్వేర్ను డౌన్లోడ్ చేయడంలో ప్రత్యేకత కలిగి ఉంది. సైబర్ సెక్యూరిటీ కమ్యూనిటీలో UNC2565గా గుర్తించబడిన Hive0127 అని పిలువబడే ముప్పు నటుడితో ఈ మాల్వేర్ స్ట్రెయిన్ అనుబంధించబడింది.
GootBot మాల్వేర్ దాడులు విషపూరిత శోధన ఫలితాలను కలిగి ఉండవచ్చు
కనుగొనబడిన GootBot ప్రచారాలు ఒప్పందాలు, చట్టపరమైన రూపాలు మరియు ఇతర వ్యాపార సంబంధిత పత్రాల వంటి అంశాలకు సంబంధించిన SEO-విషపూరిత శోధన ఫలితాలతో కూడిన కొత్త వ్యూహాన్ని అనుసరించాయి. ఈ తారుమారు చేసిన శోధన ఫలితాలు సందేహించని బాధితులను రాజీపడిన వెబ్సైట్లకు దారితీస్తాయి, అవి చట్టబద్ధమైన ఫోరమ్లను పోలి ఉండేలా తెలివిగా రూపొందించబడ్డాయి. ఇక్కడ, బాధితులు ఆర్కైవ్ ఫైల్లో తెలివిగా దాచిపెట్టిన ప్రారంభ పేలోడ్ను డౌన్లోడ్ చేయడం ద్వారా మోసగించబడ్డారు. ఈ ఆర్కైవ్ ఫైల్ దాచిన జావాస్క్రిప్ట్ ఫైల్ను కలిగి ఉంది, అది యాక్టివేట్ అయినప్పుడు, మరొక జావాస్క్రిప్ట్ ఫైల్ను తిరిగి పొందుతుంది. ఈ రెండవ ఫైల్ షెడ్యూల్ చేయబడిన పని ద్వారా అమలు చేయబడుతుంది, ఇది రాజీపడిన సిస్టమ్లో దాని నిలకడను నిర్ధారిస్తుంది.
GootBot యొక్క వినియోగం వ్యూహాలలో చెప్పుకోదగ్గ మార్పును సూచిస్తుంది. CobaltStrike వంటి పోస్ట్-ఎక్స్ప్లోయిటేషన్ ఫ్రేమ్వర్క్లపై ఆధారపడే బదులు, GootBot గూట్లోడర్ ఇన్ఫెక్షన్ తర్వాత పేలోడ్గా ఉపయోగించబడుతుంది.
GootBot అనేది కమాండ్ మరియు కంట్రోల్ ప్రయోజనాల కోసం రాజీపడిన WordPress సైట్కి కనెక్ట్ చేసే ప్రాథమిక విధితో అస్పష్టమైన PowerShell స్క్రిప్ట్గా వర్ణించబడింది. ఈ కనెక్షన్ ద్వారానే GootBot పరిస్థితికి సంక్లిష్టతను జోడించి తదుపరి సూచనలను అందుకుంటుంది. ముఖ్యంగా, డిపాజిట్ చేయబడిన ప్రతి గూట్బాట్ నమూనా ఒక ప్రత్యేకమైన, హార్డ్-కోడెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ను ఉపయోగిస్తుంది, హానికరమైన నెట్వర్క్ ట్రాఫిక్ను సమర్థవంతంగా నిరోధించడం సవాలుగా మారుతుంది.
GootBot మాల్వేర్ సోకిన పరికరాలపై వివిధ ఇన్వాసివ్ ఫంక్షన్లను చేయగలదు
దాడి గొలుసు యొక్క రెండవ దశలో, సిస్టమ్ సమాచారాన్ని సేకరించి రిమోట్ సర్వర్కు ప్రసారం చేసే ఉద్దేశ్యంతో JavaScript భాగం పవర్షెల్ స్క్రిప్ట్ను అమలు చేస్తుంది. ప్రతిస్పందనగా, రిమోట్ సర్వర్ పవర్షెల్ స్క్రిప్ట్ను పంపుతుంది, అది స్థిరమైన లూప్లో నడుస్తుంది, వివిధ పేలోడ్లను పంపిణీ చేసే సామర్థ్యాన్ని ముప్పు నటుడికి అందిస్తుంది.
ఈ పేలోడ్లలో ఒకటి GootBot, ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో సాధారణ కమ్యూనికేషన్ను నిర్వహిస్తుంది, అమలు కోసం పవర్షెల్ టాస్క్లను స్వీకరించడానికి ప్రతి 60 సెకన్లకు చేరుకుంటుంది మరియు HTTP POST అభ్యర్థనల ద్వారా ఫలితాలను ప్రసారం చేస్తుంది.
గూట్బాట్ నిఘా నిర్వహించడం నుండి పర్యావరణంలో పార్శ్వ కదలికను ప్రారంభించడం, దాడి యొక్క పరిధిని సమర్థవంతంగా విస్తరించడం వరకు అనేక రకాల సామర్థ్యాలను కలిగి ఉంది.
ఈ గూట్బాట్ వేరియంట్ యొక్క ఆవిర్భావం బెదిరింపు నటులు గుర్తింపును తప్పించుకోవడానికి మరియు రహస్యంగా ఆపరేట్ చేయడానికి సిద్ధంగా ఉన్న విస్తృతమైన చర్యలను నొక్కి చెబుతుంది. వ్యూహాలు, సాంకేతికతలు మరియు సాధనాల్లో ఈ మార్పు విజయవంతమైన పోస్ట్-ఎక్స్ప్లోయిటేషన్ దశలకు సంబంధించిన ప్రమాదాన్ని గణనీయంగా పెంచుతుంది, ముఖ్యంగా GootLoader-అనుబంధ ransomware అనుబంధ కార్యకలాపాలకు సంబంధించినవి.