GootBot 恶意软件

网络安全专家发现了一种名为 GootBot 的新型恶意软件菌株，它能够在受感染的系统内进行横向移动，同时逃避检测。对该威胁的详细分析表明，它表面上是源自先前发现的GootLoader恶意软件的新迭代。

值得注意的是，GootLoader 组织战略性地将这种自定义机器人引入到其攻击工作流程的后期阶段，以规避检测机制，特别是在使用CobaltStrike或 RDP 等现成的命令和控制 (C2) 工具时。这种新出现的变种的特点是其轻量级但功效显着，使恶意行为者能够通过网络传播并迅速部署额外的有效负载。

GootLoader，顾名思义，专门通过搜索引擎优化 (SEO) 中毒策略吸引潜在受害者后下载后续阶段的恶意软件。这种恶意软件菌株与名为 Hive0127 的威胁行为者有关，该威胁行为者在网络安全社区中也被识别为 UNC2565。

GootBot 恶意软件攻击可能涉及中毒的搜索结果

发现的 GootBot 活动采用了一种新策略，涉及与合同、法律表格和其他业务相关文档等主题相关的 SEO 中毒搜索结果。这些被操纵的搜索结果会将毫无戒心的受害者引导至被巧妙设计为类似于合法论坛的受感染网站。在这里，受害者被欺骗下载巧妙隐藏在存档文件中的初始有效负载。该存档文件包含一个隐藏的 JavaScript 文件，激活后会检索另一个 JavaScript 文件。第二个文件通过计划任务执行，确保其在受感染系统中持久存在。

GootBot 的使用标志着策略的显着转变。 GootBot 不依赖 CobaltStrike 等后利用框架，而是在 GootLoader 感染后用作有效负载。

GootBot 被描述为一个混淆的 PowerShell 脚本，其主要功能是连接到受感染的 WordPress 网站以进行命令和控制。 GootBot 正是通过这种连接接收进一步的指令，从而增加了情况的复杂性。值得注意的是，每个存放的 GootBot 样本都采用独特的硬编码命令和控制 (C2) 服务器，这使得有效阻止恶意网络流量具有挑战性。

GootBot 恶意软件可以在受感染的设备上执行各种入侵功能

在攻击链的第二阶段，JavaScript 组件执行 PowerShell 脚本，目的是收集系统信息并将其传输到远程服务器。作为响应，远程服务器发送一个在恒定循环中运行的 PowerShell 脚本，为威胁参与者提供分发各种有效负载的能力。

GootBot 就是其中之一，它与命令与控制 (C2) 服务器保持定期通信，每 60 秒接收一次 PowerShell 任务以执行，并通过 HTTP POST 请求传输结果。

GootBot 拥有一系列功能，从进行侦察到在环境中横向移动，有效扩大攻击范围。

GootBot 变种的出现凸显了威胁行为者愿意采取广泛的措施来逃避检测和秘密行动。这种策略、技术和工具的转变显着提高了与成功的后利用阶段相关的风险，特别是与 GootLoader 相关的勒索软件附属活动相关的风险。