GootBot Malware

Odborníci na kybernetickú bezpečnosť identifikovali nový kmeň škodlivého softvéru známy ako GootBot, ktorý vykazuje schopnosť uľahčiť bočný pohyb v ohrozených systémoch, pričom sa vyhýba detekcii. Podrobná analýza tejto hrozby naznačuje, že ide o zdanlivo novú iteráciu odvodenú od predtým objaveného malvéru GootLoader .

Je príznačné, že skupina GootLoader strategicky zaviedla tohto vlastného robota do neskorších štádií svojho pracovného toku útokov v snahe obísť detekčné mechanizmy, najmä pri použití ľahko dostupných nástrojov Command-and-Control (C2), ako sú CobaltStrike alebo RDP. Tento novo vznikajúci variant je charakteristický svojou ľahkou povahou, ale pozoruhodnou účinnosťou, ktorá umožňuje zlomyseľným aktérom šíriť sa cez siete a rýchlo nasadzovať ďalšie užitočné zaťaženia.

GootLoader, ako už názov napovedá, sa špecializuje na sťahovanie následného škodlivého softvéru po nalákaní potenciálnych obetí pomocou otrávovej taktiky optimalizácie pre vyhľadávače (SEO). Tento kmeň malvéru bol spojený s aktérom hrozby známym ako Hive0127, ktorý je v komunite kybernetickej bezpečnosti tiež identifikovaný ako UNC2565.

Malvérové útoky GootBot môžu zahŕňať otrávené výsledky vyhľadávania

Objavené kampane GootBot prijali novú stratégiu zahŕňajúcu výsledky vyhľadávania otrávené SEO súvisiace s témami, ako sú zmluvy, právne formy a iné dokumenty súvisiace s podnikaním. Tieto zmanipulované výsledky vyhľadávania vedú nič netušiace obete na napadnuté webové stránky, ktoré boli dômyselne navrhnuté tak, aby pripomínali legitímne fóra. Tu sú obete oklamané, aby si stiahli počiatočný náklad šikovne ukrytý v archívnom súbore. Tento archívny súbor obsahuje skrytý súbor JavaScript, ktorý po aktivácii načíta ďalší súbor JavaScript. Tento druhý súbor sa spustí prostredníctvom naplánovanej úlohy, čím sa zabezpečí jeho pretrvávanie v napadnutom systéme.

Využitie GootBot znamená výrazný posun v taktike. Namiesto spoliehania sa na rámce po exploatácii, ako je CobaltStrike, sa GootBot používa ako užitočné zaťaženie po infekcii GootLoader.

GootBot je opísaný ako zahmlený skript PowerShell s primárnou funkciou pripojenia k napadnutému webu WordPress na účely príkazov a kontroly. Cez toto spojenie dostáva GootBot ďalšie inštrukcie, čím sa situácia komplikuje. Je pozoruhodné, že každá uložená vzorka GootBot využíva odlišný, pevne zakódovaný server Command-and-Control (C2), vďaka čomu je náročné efektívne blokovať škodlivú sieťovú prevádzku.

Malvér GootBot môže na infikovaných zariadeniach vykonávať rôzne invazívne funkcie

Počas druhej fázy reťazca útokov komponent JavaScript spustí skript PowerShell s cieľom zhromaždiť systémové informácie a preniesť ich na vzdialený server. V reakcii na to vzdialený server odošle skript PowerShell, ktorý beží v konštantnej slučke a poskytuje aktérovi hrozby možnosť distribuovať rôzne užitočné zaťaženia.

Jednou z týchto užitočných záťaží je GootBot, ktorý udržiava pravidelnú komunikáciu so svojím serverom Command-and-Control (C2) a každých 60 sekúnd prijíma úlohy PowerShell na vykonanie a odosiela výsledky prostredníctvom požiadaviek HTTP POST.

GootBot sa môže pochváliť celým radom schopností, od vykonávania prieskumu až po umožnenie bočného pohybu v prostredí, čím sa efektívne rozširuje rozsah útoku.

Vznik tohto variantu GootBot podčiarkuje rozsiahle opatrenia, ktoré sú aktéri hrozieb ochotní prijať, aby unikli odhaleniu a fungovali skryto. Tento posun v taktike, technikách a nástrojoch výrazne zvyšuje riziko spojené s úspešnými fázami po vykorisťovaní, najmä s tými, ktoré súvisia s aktivitami pridružených spoločností ransomvéru spojených s GootLoaderom.