GootBot 惡意軟體

網路安全專家發現了一種名為 GootBot 的新型惡意軟體菌株，它能夠在受感染的系統內進行橫向移動，同時逃避偵測。對該威脅的詳細分析表明，它表面上是源自先前發現的GootLoader惡意軟體的新迭代。

值得注意的是，GootLoader 組織策略性地將這種自訂機器人引入到其攻擊工作流程的後期階段，以規避偵測機制，特別是在使用CobaltStrike或RDP 等現成的命令與控制(C2) 工具時。這種新出現的變種的特點是其輕量級但功效顯著，使惡意行為者能夠透過網路傳播並迅速部署額外的有效負載。

GootLoader，顧名思義，專門透過搜尋引擎優化 (SEO) 中毒策略吸引潛在受害者後下載後續階段的惡意軟體。這種惡意軟體菌株與名為 Hive0127 的威脅行為者有關，該威脅行為者在網路安全社群中也被識別為 UNC2565。

GootBot 惡意軟體攻擊可能涉及中毒的搜尋結果

發現的 GootBot 活動採用了一種新策略，涉及與合約、法律表格和其他業務相關文件等主題相關的 SEO 中毒搜尋結果。這些被操縱的搜尋結果會將毫無戒心的受害者引導至被巧妙設計為類似於合法論壇的受感染網站。在這裡，受害者被欺騙下載巧妙隱藏在存檔文件中的初始有效負載。該存檔檔案包含一個隱藏的 JavaScript 文件，啟動後會檢索另一個 JavaScript 檔案。第二個文件透過計畫任務執行，確保其在受感染系統中持久存在。

GootBot 的使用標誌著策略的顯著轉變。 GootBot 不依賴 CobaltStrike 等後利用框架，而是在 GootLoader 感染後用作有效負載。

GootBot 被描述為一個混淆的 PowerShell 腳本，其主要功能是連接到受感染的 WordPress 網站以進行命令和控制。 GootBot 正是透過這種連線接收進一步的指令，從而增加了情況的複雜性。值得注意的是，每個存放的 GootBot 樣本都採用獨特的硬編碼命令和控制 (C2) 伺服器，這使得有效阻止惡意網路流量具有挑戰性。

GootBot 惡意軟體可以在受感染的裝置上執行各種入侵功能

在攻擊鏈的第二階段，JavaScript 元件執行 PowerShell 腳本，目的是收集系統資訊並將其傳輸到遠端伺服器。作為回應，遠端伺服器發送在恆定循環中運行的 PowerShell 腳本，為威脅參與者提供分發各種有效負載的能力。

GootBot 就是其中之一，它與命令與控制 (C2) 伺服器保持定期通信，每 60 秒接收一次 PowerShell 任務以執行，並透過 HTTP POST 請求傳輸結果。

GootBot 擁有一系列功能，從進行偵察到在環境中橫向移動，有效擴大攻擊範圍。

GootBot 變種的出現凸顯了威脅行為者願意採取廣泛的措施來逃避偵測和秘密行動。這種策略、技術和工具的轉變顯著提高了與成功的後利用階段相關的風險，特別是與 GootLoader 相關的勒索軟體附屬活動相關的風險。