มัลแวร์ GootBot

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์สายพันธุ์ใหม่ที่เรียกว่า GootBot ซึ่งแสดงความสามารถในการอำนวยความสะดวกในการเคลื่อนไหวด้านข้างภายในระบบที่ถูกบุกรุกในขณะที่หลบเลี่ยงการตรวจจับ การวิเคราะห์โดยละเอียดของภัยคุกคามนี้บ่งชี้ว่าเห็นได้ชัดว่าเป็นการทำซ้ำครั้งใหม่ที่ได้มาจากมัลแวร์ GootLoader ที่ค้นพบก่อนหน้านี้

ที่สำคัญ กลุ่ม GootLoader ได้เปิดตัวบอทแบบกำหนดเองนี้อย่างมีกลยุทธ์ในขั้นตอนหลังของเวิร์กโฟลว์การโจมตี ด้วยความพยายามที่จะหลีกเลี่ยงกลไกการตรวจจับ โดยเฉพาะอย่างยิ่งเมื่อใช้เครื่องมือ Command-and-Control (C2) ที่พร้อมใช้งาน เช่น CobaltStrike หรือ RDP ตัวแปรที่เพิ่งเกิดขึ้นใหม่นี้มีลักษณะเฉพาะที่มีน้ำหนักเบาแต่มีประสิทธิภาพที่น่าสังเกต ช่วยให้ผู้ไม่ประสงค์ดีสามารถแพร่กระจายผ่านเครือข่ายและปรับใช้เพย์โหลดเพิ่มเติมได้อย่างรวดเร็ว

ตามชื่อ GootLoader เชี่ยวชาญในการดาวน์โหลดมัลแวร์ขั้นต่อมาหลังจากล่อลวงผู้ที่อาจเป็นเหยื่อผ่านกลยุทธ์การวางยาพิษในการเพิ่มประสิทธิภาพกลไกค้นหา (SEO) มัลแวร์สายพันธุ์นี้มีความเกี่ยวข้องกับผู้คุกคามที่เรียกว่า Hive0127 หรือที่เรียกว่า UNC2565 ในชุมชนความปลอดภัยทางไซเบอร์

การโจมตีมัลแวร์ GootBot อาจเกี่ยวข้องกับผลการค้นหาที่เป็นพิษ

แคมเปญ GootBot ที่ค้นพบได้ใช้กลยุทธ์ใหม่ที่เกี่ยวข้องกับผลการค้นหาที่เป็นพิษต่อ SEO ซึ่งเกี่ยวข้องกับหัวข้อต่างๆ เช่น สัญญา แบบฟอร์มทางกฎหมาย และเอกสารที่เกี่ยวข้องกับธุรกิจอื่นๆ ผลการค้นหาที่ถูกบิดเบือนเหล่านี้นำเหยื่อที่ไม่สงสัยไปยังเว็บไซต์ที่ถูกบุกรุกซึ่งได้รับการออกแบบอย่างชาญฉลาดให้มีลักษณะคล้ายกับฟอรัมที่ถูกต้องตามกฎหมาย ที่นี่เหยื่อจะถูกหลอกให้ดาวน์โหลดเพย์โหลดเริ่มต้นที่ซ่อนอยู่ในไฟล์เก็บถาวรอย่างชาญฉลาด ไฟล์เก็บถาวรนี้มีไฟล์ JavaScript ที่ซ่อนอยู่ซึ่งเมื่อเปิดใช้งานจะดึงไฟล์ JavaScript อื่นมา ไฟล์ที่สองนี้ถูกดำเนินการผ่านงานที่กำหนดเวลาไว้ เพื่อให้มั่นใจว่าไฟล์จะคงอยู่ในระบบที่ถูกบุกรุก

การใช้ GootBot บ่งบอกถึงการเปลี่ยนแปลงกลยุทธ์ที่โดดเด่น แทนที่จะอาศัยเฟรมเวิร์กหลังการแสวงหาผลประโยชน์เช่น CobaltStrike GootBot จะถูกใช้เป็นเพย์โหลดหลังจากการติดไวรัส GootLoader

GootBot ได้รับการอธิบายว่าเป็นสคริปต์ PowerShell ที่สร้างความสับสน โดยมีฟังก์ชันหลักในการเชื่อมต่อกับไซต์ WordPress ที่ถูกบุกรุกเพื่อวัตถุประสงค์ในการสั่งการและควบคุม ผ่านการเชื่อมต่อนี้ GootBot ได้รับคำแนะนำเพิ่มเติม ซึ่งเพิ่มความซับซ้อนให้กับสถานการณ์ โดยเฉพาะอย่างยิ่ง แต่ละตัวอย่าง GootBot ที่ฝากไว้นั้นใช้เซิร์ฟเวอร์ Command-and-Control (C2) แบบฮาร์ดโค้ดที่แตกต่างกัน ซึ่งทำให้บล็อกการรับส่งข้อมูลเครือข่ายที่เป็นอันตรายได้อย่างมีประสิทธิภาพเป็นเรื่องที่ท้าทาย

มัลแวร์ GootBot สามารถทำหน้าที่บุกรุกต่างๆ บนอุปกรณ์ที่ติดไวรัสได้

ในระหว่างขั้นตอนที่สองของห่วงโซ่การโจมตี ส่วนประกอบ JavaScript เรียกใช้สคริปต์ PowerShell โดยมีวัตถุประสงค์เพื่อรวบรวมข้อมูลระบบและส่งไปยังเซิร์ฟเวอร์ระยะไกล ในการตอบสนอง เซิร์ฟเวอร์ระยะไกลจะส่งสคริปต์ PowerShell ที่ทำงานวนซ้ำอย่างต่อเนื่อง ทำให้ผู้คุกคามสามารถกระจายเพย์โหลดต่างๆ ได้

หนึ่งในเพย์โหลดเหล่านี้คือ GootBot ซึ่งรักษาการสื่อสารปกติกับเซิร์ฟเวอร์ Command-and-Control (C2) โดยเข้าถึงทุกๆ 60 วินาทีเพื่อรับงาน PowerShell สำหรับดำเนินการและส่งผลลัพธ์ผ่านคำขอ HTTP POST

GootBot มีความสามารถที่หลากหลาย ตั้งแต่การลาดตระเวนไปจนถึงการเปิดใช้งานการเคลื่อนไหวด้านข้างภายในสภาพแวดล้อม การขยายขอบเขตการโจมตีอย่างมีประสิทธิภาพ

การเกิดขึ้นของตัวแปร GootBot นี้ตอกย้ำถึงมาตรการที่ครอบคลุมซึ่งผู้แสดงภัยคุกคามเต็มใจที่จะนำไปใช้เพื่อหลบเลี่ยงการตรวจจับและดำเนินการอย่างซ่อนเร้น การเปลี่ยนแปลงกลยุทธ์ เทคนิค และเครื่องมือนี้ช่วยยกระดับความเสี่ยงที่เกี่ยวข้องกับขั้นตอนหลังการใช้ประโยชน์ได้สำเร็จอย่างมาก โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับกิจกรรมพันธมิตรแรนซัมแวร์ที่เกี่ยวข้องกับ GootLoader