Gootbot Malware

Експерти з кібербезпеки ідентифікували новий штам зловмисного програмного забезпечення, відомий як GootBot, який демонструє здатність сприяти боковому переміщенню всередині скомпрометованих систем, уникаючи виявлення. Детальний аналіз цієї загрози вказує на те, що це нібито нова ітерація, похідна від раніше виявленої шкідливої програми GootLoader .

Важливо, що група GootLoader стратегічно представила цього спеціального бота на пізніх етапах робочого процесу атаки, намагаючись обійти механізми виявлення, особливо під час використання доступних інструментів командування та керування (C2), таких як CobaltStrike або RDP. Цей новий варіант характеризується своєю невеликою вагою, але заслуговує на увагу ефективністю, що дозволяє зловмисникам поширюватися через мережі та швидко розгортати додаткові корисні навантаження.

GootLoader, як випливає з назви, спеціалізується на завантаженні наступного зловмисного програмного забезпечення після того, як заманить потенційних жертв за допомогою тактики отруєння пошуковою оптимізацією (SEO). Цей штам зловмисного програмного забезпечення був пов’язаний із загрозою, відомою як Hive0127, яка також ідентифікована як UNC2565 у спільноті кібербезпеки.

Атаки зловмисного програмного забезпечення GootBot можуть включати отруєні результати пошуку

Виявлені кампанії GootBot прийняли нову стратегію, пов’язану з пошуковими результатами пошуку, пов’язаними з такими темами, як контракти, юридичні форми та інші документи, пов’язані з бізнесом. Ці підроблені результати пошуку приводять нічого не підозрюючих жертв до скомпрометованих веб-сайтів, які були геніально розроблені, щоб нагадувати законні форуми. Тут жертв обманом змушують завантажити початкове корисне навантаження, вміло приховане в архівному файлі. Цей архівний файл містить прихований файл JavaScript, який після активації отримує інший файл JavaScript. Цей другий файл виконується через заплановане завдання, забезпечуючи його збереження в скомпрометованій системі.

Використання GootBot означає значну зміну тактики. Замість того, щоб покладатися на такі фреймворки після експлуатації, як CobaltStrike, GootBot використовується як корисне навантаження після зараження GootLoader.

GootBot описується як обфускований сценарій PowerShell, основною функцією якого є підключення до скомпрометованого сайту WordPress для командування та контролю. Через це з’єднання GootBot отримує подальші інструкції, що ускладнює ситуацію. Примітно, що кожен депонований зразок GootBot використовує окремий, жорстко закодований сервер командування та керування (C2), що ускладнює ефективне блокування шкідливого мережевого трафіку.

Зловмисне програмне забезпечення GootBot може виконувати різноманітні інвазивні функції на заражених пристроях

Під час другого етапу ланцюга атаки компонент JavaScript виконує сценарій PowerShell з метою збору системної інформації та передачі її на віддалений сервер. У відповідь віддалений сервер надсилає сценарій PowerShell, який працює в постійному циклі, надаючи загрозливому суб’єкту можливість розподіляти різні корисні навантаження.

Одним із цих корисних навантажень є GootBot, який підтримує регулярний зв’язок зі своїм сервером командування та керування (C2), звертаючись кожні 60 секунд, щоб отримати завдання PowerShell для виконання та передати результати через запити HTTP POST.

GootBot може похвалитися цілим рядом можливостей, від проведення розвідки до забезпечення бічного пересування в середовищі, ефективно розширюючи масштаб атаки.

Поява цього варіанту GootBot підкреслює широкі заходи, які зловмисники готові вжити, щоб уникнути виявлення та діяти таємно. Ця зміна в тактиці, техніці та інструментах значно підвищує ризик, пов’язаний з успішними етапами після експлуатації, особливо тими, що пов’язані з афілійованою діяльністю програми-вимагача, пов’язаної з GootLoader.