GootBot Kötü Amaçlı Yazılım
Siber güvenlik uzmanları, GootBot olarak bilinen ve tespit edilmeden tehlikeye atılan sistemlerde yanal hareketi kolaylaştırma yeteneği sergileyen yeni bir kötü amaçlı yazılım türü tespit etti. Bu tehdidin ayrıntılı analizi, görünüşte daha önce keşfedilen GootLoader kötü amaçlı yazılımından türetilen yeni bir yineleme olduğunu gösteriyor.
GootLoader grubunun, özellikle CobaltStrike veya RDP gibi hazır Komuta ve Kontrol (C2) araçlarını kullanırken, tespit mekanizmalarını atlatmak amacıyla bu özel botu saldırı iş akışlarının sonraki aşamalarına stratejik olarak dahil etmesi dikkate değerdir. Yeni ortaya çıkan bu varyant, hafif yapısı ancak dikkat çekici etkinliği ile öne çıkıyor ve kötü niyetli aktörlerin ağlar üzerinden yayılmasına ve ek yükleri hızlı bir şekilde dağıtmasına olanak tanıyor.
GootLoader, adından da anlaşılacağı gibi, potansiyel kurbanları arama motoru optimizasyonu (SEO) zehirlenmesi taktikleri yoluyla ikna ettikten sonra sonraki aşamadaki kötü amaçlı yazılımları indirme konusunda uzmanlaşmıştır. Bu kötü amaçlı yazılım türü, siber güvenlik topluluğunda UNC2565 olarak da tanımlanan Hive0127 olarak bilinen bir tehdit aktörüyle ilişkilendirilmiştir.
GootBot Kötü Amaçlı Yazılım Saldırıları Zehirli Arama Sonuçlarını İçerebilir
Keşfedilen GootBot kampanyaları, sözleşmeler, yasal formlar ve işle ilgili diğer belgeler gibi konularla ilgili SEO zehirli arama sonuçlarını içeren yeni bir strateji benimsedi. Bu manipüle edilmiş arama sonuçları, şüphelenmeyen kurbanları, meşru forumlara benzeyecek şekilde ustaca tasarlanmış, güvenliği ihlal edilmiş web sitelerine yönlendiriyor. Burada kurbanlar, bir arşiv dosyasına akıllıca gizlenmiş bir başlangıç verisini indirmeye kandırılıyor. Bu arşiv dosyası, etkinleştirildiğinde başka bir JavaScript dosyasını alan gizli bir JavaScript dosyası içerir. Bu ikinci dosya, zamanlanmış bir görev aracılığıyla yürütülür ve güvenliği ihlal edilen sistem içinde kalıcılığı sağlanır.
GootBot'un kullanılması taktiklerde dikkate değer bir değişime işaret ediyor. GootBot, CobaltStrike gibi sömürü sonrası çerçevelere güvenmek yerine, GootLoader enfeksiyonunun ardından bir yük olarak kullanılıyor.
GootBot, birincil işlevi, komuta ve kontrol amacıyla güvenliği ihlal edilmiş bir WordPress sitesine bağlanmak olan, karmaşık bir PowerShell betiği olarak tanımlanır. GootBot'un daha fazla talimat alması bu bağlantı sayesinde durumu daha da karmaşık hale getiriyor. Özellikle, yatırılan her GootBot örneğinin farklı, sabit kodlu bir Komuta ve Kontrol (C2) sunucusu kullanması, kötü amaçlı ağ trafiğini etkili bir şekilde engellemeyi zorlaştırır.
GootBot Kötü Amaçlı Yazılımı, Etkilenen Cihazlarda Çeşitli İstilacı İşlevler Gerçekleştirebilir
Saldırı zincirinin ikinci aşamasında, bir JavaScript bileşeni, sistem bilgilerini toplamak ve bunu uzak bir sunucuya iletmek amacıyla bir PowerShell betiğini çalıştırır. Buna yanıt olarak uzak sunucu, sabit bir döngüde çalışan bir PowerShell betiği göndererek tehdit aktörüne çeşitli yükleri dağıtma yeteneği sağlar.
Bu yüklerden biri, Komuta ve Kontrol (C2) sunucusuyla düzenli iletişimi sürdüren, yürütülmek üzere PowerShell görevlerini almak için her 60 saniyede bir ulaşan ve sonuçları HTTP POST istekleri aracılığıyla ileten GootBot'tur.
GootBot, keşif yapmaktan çevrede yanal hareket sağlamaya ve saldırı kapsamını etkili bir şekilde genişletmeye kadar çeşitli yeteneklere sahiptir.
Bu GootBot varyantının ortaya çıkışı, tehdit aktörlerinin tespit edilmekten kaçınmak ve gizlice faaliyet göstermek için almaya istekli olduğu kapsamlı önlemlerin altını çiziyor. Taktikler, teknikler ve araçlardaki bu değişiklik, özellikle GootLoader ile ilişkili fidye yazılımı ortaklık faaliyetleriyle ilgili olanlar olmak üzere, başarılı istismar sonrası aşamalarla ilişkili riski önemli ölçüde artırıyor.
