09/11/23
Команда IBM X-Force обнаружила новый вариант загрузчика GootLoader, получивший название GootBot. Новая версия позволяет совершать боковое перемещение (Lateral Movement) на скомпрометированных системах и уклоняться от обнаружения. GootLoader, использующий тактику SEO poisoning (отравление поисковой выдачи), известен способностью доставлять в систему вредоносное ПО следующего этапа и связан с группировкой Hive0127 (UNC2565). Это передает Securitylab.
GootBot представляет собой обфусцированный скрипт PowerShell, предназначенный для соединения со скомпрометированным сайтом WordPress для получения дополнительных команд. Осложняет ситуацию использование уникального жестко закодированного C2-сервера (Command and Control, C2) для каждого образца GootBot, что затрудняет блокировку вредоносного трафика.
Обнаруженные кампании используют отравленные результаты поиска по темам, связанным с юридическими документами и формами. Результаты поиска направляют жертв на скомпрометированные сайты, которые маскируются под легитимные форумы и предлагают жертвам скачать архив, содержащий начальную полезную нагрузку.
Архив содержит обфусцированный файл JavaScript, который после выполнения извлекает другой файл JavaScript. Файл активируется через запланированную задачу для достижения постоянства. На втором этапе JavaScript запускает скрипт PowerShell для сбора информации о системе и ее эксфильтрации на удаленный сервер, который, в свою очередь, отвечает скриптом PowerShell, выполняемым в бесконечном цикле. Такая тактика позволяет хакерам активно распространять различные полезные нагрузки. GootBot каждые 60 секунд отправляет сигнал на свой C2-сервер, чтобы получить задачи PowerShell для выполнения и отправлять результаты выполнения обратно на сервер в виде HTTP POST-запросов.
Возможности GootBot варьируются от разведки до осуществления бокового перемещения, эффективно расширяя масштаб атаки. Обнаружение варианта Gootbot подчеркивает, какие усилия предпринимают киберпреступники, чтобы избежать обнаружения и работать скрытно, увеличивая шанс успешного выполнения этапов после эксплуатации.
