GootBot Malware
Các chuyên gia an ninh mạng đã xác định được một loại phần mềm độc hại mới có tên là GootBot, có khả năng tạo điều kiện thuận lợi cho việc di chuyển theo chiều ngang trong các hệ thống bị xâm nhập đồng thời tránh bị phát hiện. Phân tích chi tiết về mối đe dọa này chỉ ra rằng nó có vẻ là một phiên bản mới bắt nguồn từ phần mềm độc hại GootLoader đã được phát hiện trước đó.
Điều đáng chú ý là nhóm GootLoader đã đưa bot tùy chỉnh này vào các giai đoạn sau của quy trình tấn công của họ một cách chiến lược nhằm nỗ lực tránh các cơ chế phát hiện, đặc biệt là khi sử dụng các công cụ Ra lệnh và Kiểm soát (C2) có sẵn như CobaltStrike hoặc RDP. Biến thể mới xuất hiện này có đặc điểm là nhẹ nhưng hiệu quả đáng chú ý, cho phép các tác nhân độc hại lây lan qua mạng và triển khai tải trọng bổ sung một cách nhanh chóng.
GootLoader, đúng như tên gọi của nó, chuyên tải xuống phần mềm độc hại ở giai đoạn tiếp theo sau khi lôi kéo nạn nhân tiềm năng thông qua chiến thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO). Chủng phần mềm độc hại này có liên quan đến tác nhân đe dọa có tên Hive0127, còn được xác định là UNC2565 trong cộng đồng an ninh mạng.
Các cuộc tấn công bằng phần mềm độc hại GootBot có thể liên quan đến kết quả tìm kiếm bị nhiễm độc
Các chiến dịch GootBot được phát hiện đã áp dụng một chiến lược mới liên quan đến các kết quả tìm kiếm bị nhiễm SEO liên quan đến các chủ đề như hợp đồng, biểu mẫu pháp lý và các tài liệu liên quan đến kinh doanh khác. Những kết quả tìm kiếm bị thao túng này dẫn nạn nhân không nghi ngờ đến các trang web bị xâm nhập được thiết kế khéo léo để giống với các diễn đàn hợp pháp. Tại đây, nạn nhân bị lừa tải xuống tải trọng ban đầu được giấu khéo léo trong tệp lưu trữ. Tệp lưu trữ này chứa một tệp JavaScript bị ẩn, khi được kích hoạt sẽ truy xuất một tệp JavaScript khác. Tệp thứ hai này được thực thi thông qua một tác vụ đã lên lịch, đảm bảo tính tồn tại của nó trong hệ thống bị xâm nhập.
Việc sử dụng GootBot đánh dấu một sự thay đổi đáng chú ý trong chiến thuật. Thay vì dựa vào các khuôn khổ sau khai thác như CobaltStrike, GootBot được sử dụng làm trọng tải sau khi bị lây nhiễm GootLoader.
GootBot được mô tả là tập lệnh PowerShell bị xáo trộn với chức năng chính là kết nối với trang web WordPress bị xâm nhập nhằm mục đích ra lệnh và kiểm soát. Thông qua kết nối này, GootBot nhận được thêm hướng dẫn, làm tình hình thêm phức tạp. Đáng chú ý, mỗi mẫu GootBot được gửi sử dụng một máy chủ Chỉ huy và Kiểm soát (C2) được mã hóa cứng, riêng biệt, khiến việc chặn lưu lượng truy cập mạng độc hại một cách hiệu quả trở nên khó khăn.
Phần mềm độc hại GootBot có thể thực hiện nhiều chức năng xâm lấn khác nhau trên các thiết bị bị nhiễm
Trong giai đoạn thứ hai của chuỗi tấn công, thành phần JavaScript thực thi tập lệnh PowerShell với mục đích thu thập thông tin hệ thống và truyền nó đến máy chủ từ xa. Để đáp lại, máy chủ từ xa sẽ gửi tập lệnh PowerShell chạy theo vòng lặp liên tục, cung cấp cho tác nhân đe dọa khả năng phân phối nhiều tải trọng khác nhau.
Một trong những trọng tải này là GootBot, duy trì liên lạc thường xuyên với máy chủ Chỉ huy và Kiểm soát (C2), tiếp cận cứ sau 60 giây để nhận các tác vụ PowerShell nhằm thực thi và truyền kết quả qua các yêu cầu HTTP POST.
GootBot tự hào có nhiều khả năng, từ tiến hành trinh sát đến cho phép di chuyển ngang trong môi trường, mở rộng phạm vi tấn công một cách hiệu quả.
Sự xuất hiện của biến thể GootBot này nhấn mạnh các biện pháp mở rộng mà các tác nhân đe dọa sẵn sàng thực hiện để tránh bị phát hiện và hoạt động bí mật. Sự thay đổi về chiến thuật, kỹ thuật và công cụ này làm tăng đáng kể rủi ro liên quan đến các giai đoạn sau khai thác thành công, đặc biệt là các giai đoạn liên quan đến hoạt động liên kết của ransomware liên quan đến GootLoader.
