بدافزار GootBot

کارشناسان امنیت سایبری یک نوع بدافزار جدید به نام GootBot را شناسایی کرده‌اند که توانایی تسهیل حرکت جانبی در سیستم‌های در معرض خطر را دارد و در عین حال از شناسایی فرار می‌کند. تجزیه و تحلیل دقیق این تهدید نشان می دهد که ظاهراً یک تکرار جدید است که از بدافزار GootLoader قبلاً کشف شده است.

به طور قابل توجهی، گروه GootLoader به طور استراتژیک این ربات سفارشی را در مراحل بعدی گردش کار حمله خود در تلاش برای دور زدن مکانیسم‌های تشخیص، به‌ویژه هنگام استفاده از ابزارهای کنترل و فرمان (C2) مانند CobaltStrike یا RDP، معرفی کرده است. این نوع جدید به دلیل ماهیت سبک وزن اما کارایی قابل توجه آن مشخص می شود، که به عوامل مخرب امکان می دهد از طریق شبکه ها پخش شوند و بارهای اضافی را به سرعت مستقر کنند.

GootLoader، همانطور که از نامش پیداست، در دانلود بدافزارهای بعدی پس از جذب قربانیان احتمالی از طریق تاکتیک‌های مسمومیت بهینه سازی موتور جستجو (SEO) تخصص دارد. این نوع بدافزار با یک عامل تهدید به نام Hive0127 مرتبط است که در جامعه امنیت سایبری با نام UNC2565 نیز شناخته می‌شود.

حملات بدافزار GootBot ممکن است شامل نتایج جستجوی مسموم شود

کمپین های کشف شده GootBot استراتژی جدیدی را اتخاذ کرده اند که شامل نتایج جستجوی مسموم شده با سئو مرتبط با موضوعاتی مانند قراردادها، فرم های قانونی و سایر اسناد مرتبط با تجارت است. این نتایج جستجوی دستکاری شده، قربانیان را به سمت وب‌سایت‌های آسیب‌دیده سوق می‌دهد که به طرز هوشمندانه‌ای برای شباهت به انجمن‌های قانونی طراحی شده‌اند. در اینجا، قربانیان فریب داده می‌شوند تا یک محموله اولیه را که هوشمندانه در یک فایل بایگانی پنهان شده است دانلود کنند. این فایل آرشیو حاوی یک فایل جاوا اسکریپت مخفی است که پس از فعال شدن، فایل جاوا اسکریپت دیگری را بازیابی می کند. این فایل دوم از طریق یک کار برنامه ریزی شده اجرا می شود و از ماندگاری آن در سیستم در معرض خطر اطمینان می یابد.

استفاده از GootBot به معنی تغییر قابل توجهی در تاکتیک ها است. به‌جای تکیه بر چارچوب‌های پس از بهره‌برداری مانند CobaltStrike، GootBot به‌عنوان محموله پس از آلودگی GootLoader استفاده می‌شود.

GootBot به عنوان یک اسکریپت مبهم PowerShell با عملکرد اصلی اتصال به یک سایت وردپرس در معرض خطر برای اهداف فرمان و کنترل توصیف می شود. از طریق این ارتباط است که GootBot دستورالعمل‌های بیشتری را دریافت می‌کند و به وضعیت پیچیده می‌افزاید. قابل ذکر است، هر نمونه GootBot سپرده شده از یک سرور مجزا و سخت کد شده Command-and-Control (C2) استفاده می کند که مسدود کردن موثر ترافیک شبکه مخرب را به چالش می کشد.

بدافزار GootBot می تواند عملکردهای تهاجمی مختلفی را روی دستگاه های آلوده انجام دهد

در مرحله دوم زنجیره حمله، یک جزء جاوا اسکریپت یک اسکریپت PowerShell را با هدف جمع آوری اطلاعات سیستم و انتقال آن به یک سرور راه دور اجرا می کند. در پاسخ، سرور راه دور یک اسکریپت PowerShell را ارسال می کند که در یک حلقه ثابت اجرا می شود و به عامل تهدید توانایی توزیع بارهای مختلف را می دهد.

یکی از این محموله ها GootBot است که ارتباط منظمی با سرور Command-and-Control (C2) خود برقرار می کند و هر 60 ثانیه یکبار برای دریافت وظایف PowerShell برای اجرا و انتقال نتایج از طریق درخواست های HTTP POST تماس می گیرد.

GootBot دارای طیف وسیعی از قابلیت‌ها، از انجام شناسایی گرفته تا فعال کردن حرکت جانبی در محیط است که به طور موثر دامنه حمله را گسترش می‌دهد.

ظهور این نوع GootBot بر اقدامات گسترده‌ای تاکید می‌کند که بازیگران تهدید حاضرند برای فرار از شناسایی و عملیات مخفیانه انجام دهند. این تغییر در تاکتیک‌ها، تکنیک‌ها و ابزارها به‌طور قابل‌توجهی ریسک مربوط به مراحل موفق پس از بهره‌برداری را افزایش می‌دهد، به‌ویژه مواردی که مربوط به فعالیت‌های وابسته به باج‌افزار مرتبط با GootLoader است.