بدافزار GootBot
کارشناسان امنیت سایبری یک نوع بدافزار جدید به نام GootBot را شناسایی کردهاند که توانایی تسهیل حرکت جانبی در سیستمهای در معرض خطر را دارد و در عین حال از شناسایی فرار میکند. تجزیه و تحلیل دقیق این تهدید نشان می دهد که ظاهراً یک تکرار جدید است که از بدافزار GootLoader قبلاً کشف شده است.
به طور قابل توجهی، گروه GootLoader به طور استراتژیک این ربات سفارشی را در مراحل بعدی گردش کار حمله خود در تلاش برای دور زدن مکانیسمهای تشخیص، بهویژه هنگام استفاده از ابزارهای کنترل و فرمان (C2) مانند CobaltStrike یا RDP، معرفی کرده است. این نوع جدید به دلیل ماهیت سبک وزن اما کارایی قابل توجه آن مشخص می شود، که به عوامل مخرب امکان می دهد از طریق شبکه ها پخش شوند و بارهای اضافی را به سرعت مستقر کنند.
GootLoader، همانطور که از نامش پیداست، در دانلود بدافزارهای بعدی پس از جذب قربانیان احتمالی از طریق تاکتیکهای مسمومیت بهینه سازی موتور جستجو (SEO) تخصص دارد. این نوع بدافزار با یک عامل تهدید به نام Hive0127 مرتبط است که در جامعه امنیت سایبری با نام UNC2565 نیز شناخته میشود.
حملات بدافزار GootBot ممکن است شامل نتایج جستجوی مسموم شود
کمپین های کشف شده GootBot استراتژی جدیدی را اتخاذ کرده اند که شامل نتایج جستجوی مسموم شده با سئو مرتبط با موضوعاتی مانند قراردادها، فرم های قانونی و سایر اسناد مرتبط با تجارت است. این نتایج جستجوی دستکاری شده، قربانیان را به سمت وبسایتهای آسیبدیده سوق میدهد که به طرز هوشمندانهای برای شباهت به انجمنهای قانونی طراحی شدهاند. در اینجا، قربانیان فریب داده میشوند تا یک محموله اولیه را که هوشمندانه در یک فایل بایگانی پنهان شده است دانلود کنند. این فایل آرشیو حاوی یک فایل جاوا اسکریپت مخفی است که پس از فعال شدن، فایل جاوا اسکریپت دیگری را بازیابی می کند. این فایل دوم از طریق یک کار برنامه ریزی شده اجرا می شود و از ماندگاری آن در سیستم در معرض خطر اطمینان می یابد.
استفاده از GootBot به معنی تغییر قابل توجهی در تاکتیک ها است. بهجای تکیه بر چارچوبهای پس از بهرهبرداری مانند CobaltStrike، GootBot بهعنوان محموله پس از آلودگی GootLoader استفاده میشود.
GootBot به عنوان یک اسکریپت مبهم PowerShell با عملکرد اصلی اتصال به یک سایت وردپرس در معرض خطر برای اهداف فرمان و کنترل توصیف می شود. از طریق این ارتباط است که GootBot دستورالعملهای بیشتری را دریافت میکند و به وضعیت پیچیده میافزاید. قابل ذکر است، هر نمونه GootBot سپرده شده از یک سرور مجزا و سخت کد شده Command-and-Control (C2) استفاده می کند که مسدود کردن موثر ترافیک شبکه مخرب را به چالش می کشد.
بدافزار GootBot می تواند عملکردهای تهاجمی مختلفی را روی دستگاه های آلوده انجام دهد
در مرحله دوم زنجیره حمله، یک جزء جاوا اسکریپت یک اسکریپت PowerShell را با هدف جمع آوری اطلاعات سیستم و انتقال آن به یک سرور راه دور اجرا می کند. در پاسخ، سرور راه دور یک اسکریپت PowerShell را ارسال می کند که در یک حلقه ثابت اجرا می شود و به عامل تهدید توانایی توزیع بارهای مختلف را می دهد.
یکی از این محموله ها GootBot است که ارتباط منظمی با سرور Command-and-Control (C2) خود برقرار می کند و هر 60 ثانیه یکبار برای دریافت وظایف PowerShell برای اجرا و انتقال نتایج از طریق درخواست های HTTP POST تماس می گیرد.
GootBot دارای طیف وسیعی از قابلیتها، از انجام شناسایی گرفته تا فعال کردن حرکت جانبی در محیط است که به طور موثر دامنه حمله را گسترش میدهد.
ظهور این نوع GootBot بر اقدامات گستردهای تاکید میکند که بازیگران تهدید حاضرند برای فرار از شناسایی و عملیات مخفیانه انجام دهند. این تغییر در تاکتیکها، تکنیکها و ابزارها بهطور قابلتوجهی ریسک مربوط به مراحل موفق پس از بهرهبرداری را افزایش میدهد، بهویژه مواردی که مربوط به فعالیتهای وابسته به باجافزار مرتبط با GootLoader است.