Μια νέα παραλλαγή του GootLoader malware που ονομάζεται GootBot διευκολύνει το lateral movement σε παραβιασμένα συστήματα και καταφέρνει να αποφεύγει τον εντοπισμό.
Σύμφωνα με ερευνητές της IBM X-Force, η εισαγωγή ενός custom bot στα τελευταία στάδια της επίθεσης είναι μια προσπάθεια αποφυγής της ανίχνευσης.
“Αυτή η νέα παραλλαγή είναι ένα ελαφρύ αλλά αποτελεσματικό κακόβουλο λογισμικό που επιτρέπει στους εισβολείς να εξαπλωθούν γρήγορα σε όλο το δίκτυο και να αναπτύξουν περαιτέρω κακόβουλα payloads“.
Το GootLoader είναι ένα malware που μπορεί να κατεβάσει περαιτέρω κακόβουλο λογισμικό, αφού δελεάσει πιθανά θύματα χρησιμοποιώντας search engine optimization (SEO) poisoning τακτικές. Συνδέεται με μια hacking ομάδα που παρακολουθείται ως Hive0127 (γνωστή και ως UNC2565).
Η χρήση του GootBot δείχνει μια αλλαγή τακτικής, όπου γίνεται λήψη του implant ως payload μετά από μόλυνση με το Gootloader και δεν χρησιμοποιούνται post-exploitation frameworks, όπως το CobaltStrike.
Δείτε επίσης: Ransomware, social engineering & AI: Οι μεγαλύτερες απειλές για το 2024
Το GootBot, που περιγράφεται ως ένα obfuscated PowerShell script, έχει σχεδιαστεί για να συνδέεται σε έναν παραβιασμένο ιστότοπο WordPress για command and control και λήψη περαιτέρω εντολών.
Κάτι που περιπλέκει περαιτέρω τα πράγματα είναι η χρήση ενός μοναδικού hard-coded C2 server για κάθε δείγμα GootBot που έχει κατατεθεί, γεγονός που καθιστά δύσκολο τον αποκλεισμό κακόβουλου traffic.
“Οι καμπάνιες που παρατηρούνται αυτήν τη στιγμή αξιοποιούν SEO-poisoned searches για θέματα όπως συμβόλαια, νομικές φόρμες ή άλλα έγγραφα που σχετίζονται με τις επιχειρήσεις, κατευθύνοντας τα θύματα σε παραβιασμένους ιστότοπους που έχουν σχεδιαστεί για να μοιάζουν με νόμιμα φόρουμ και εξαπατώντας τους να κατεβάσουν το payload ως archive file“, είπαν οι ερευνητές.
Το archive file ενσωματώνει ένα obfuscated JavaScript file, το οποίο, κατά την εκτέλεση, ανακτά ένα άλλο αρχείο JavaScript που ενεργοποιείται μέσω μιας προγραμματισμένης εργασίας για την επίτευξη persistence.
Στο δεύτερο στάδιο, το JavaScript έχει σχεδιαστεί για να εκτελεί ένα PowerShell script για τη συλλογή πληροφοριών συστήματος και τη μεταφορά τους σε έναν απομακρυσμένο διακομιστή. Αυτός, με τη σειρά του, αποκρίνεται με ένα PowerShell script που εκτελείται και επιτρέπει στον επιτιθέμενο να διανέμει άλλα κακόβουλα payloads.
Δείτε επίσης: TellYouThePass ransomware: Προστίθεται στις επιθέσεις RCE του Apache ActiveMQ
Αυτό περιλαμβάνει το GootBot, το οποίο επικοινωνεί με τον C2 διακομιστή του κάθε 60 δευτερόλεπτα για να ανακτήσει PowerShell tasks για εκτέλεση και να μεταδώσει τα αποτελέσματα της εκτέλεσης πίσω στον διακομιστή, με τη μορφή HTTP POST requests.
Μερικές από τις άλλες δυνατότητες του GootBot είναι το reconnaissance και το lateral movement στο περιβάλλον, επεκτείνοντας ουσιαστικά την επίθεση.
“Η ανακάλυψη της παραλλαγής Gootbot υπογραμμίζει το ότι οι επιτιθέμενοι κάνουν τα πάντα για να αποφύγουν τον εντοπισμό και να λειτουργήσουν μυστικά“, είπαν οι ερευνητές. “Αυτή η αλλαγή στα TTP και τα εργαλεία αυξάνει τον κίνδυνο επιτυχών σταδίων μετά την εκμετάλλευση, όπως ανάπτυξη ransomware που συνδέεται με το GootLoader“.
Οι πιθανές επιπτώσεις και κίνδυνοι που συνδέονται με τη νέα παραλλαγή του κακόβουλου λογισμικού GootLoader είναι πολλαπλοί και σοβαροί. Το GootLoader μπορεί να προκαλέσει σοβαρή ζημιά στα συστήματα υπολογιστών, καθώς μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα και προσωπικές πληροφορίες. Αυτό μπορεί να οδηγήσει σε παραβίαση της ιδιωτικότητας και κλοπή ταυτότητας των χρηστών.
Δείτε επίσης: Η QNAP διορθώνει κρίσιμες ευπάθειες command injection στο QTS OS
Επιπλέον, όπως προείπαμε, μπορεί να χρησιμοποιηθεί για την εγκατάσταση άλλων κακόβουλων προγραμμάτων, όπως ransomware ή spyware, που μπορούν να προκαλέσουν ακόμα μεγαλύτερη ζημιά.
Συνολικά, η νέα παραλλαγή του κακόβουλου λογισμικού GootLoader προκαλεί σημαντικούς κινδύνους για την ασφάλεια των χρηστών και των επιχειρήσεων. Είναι σημαντικό να ληφθούν κατάλληλα μέτρα προστασίας και να ενημερωθούν οι χρήστες για τις τελευταίες απειλές και τις βέλτιστες πρακτικές ασφαλείας.
Πηγή: thehackernews.com