文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新型 GootLoader 恶意软件变种逃避检测并迅速传播

2024-11-30 05:15

关注

IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说:GootLoader 组织在其攻击链的后期阶段引入了自己定制的机器人,试图在使用 CobaltStrike 或 RDP 等现成的 C2 工具时逃避检测。

这种新变种是一种轻量级但有效的恶意软件,允许攻击者在整个网络中快速传播并部署更多的有效载荷。

顾名思义,GootLoader 是一种恶意软件,能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意软件。它与一个名为 Hive0127(又名 UNC2565)的威胁行为者有关。

GootBot 的使用表明了一种战术转变,即在 Gootloader 感染后作为有效载荷下载植入程序,而不是使用 CobaltStrike 等后开发框架。

GootBot 是一个经过混淆的 PowerShell 脚本,其目的是连接到被入侵的 WordPress 网站进行命令和控制,并接收进一步的命令。

使问题更加复杂的是,每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器,因此很难阻止恶意流量。

GootLoader 恶意软件

研究人员说:目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题,将受害者引向设计成合法论坛的受攻击网站,诱使他们下载带有病毒的文件、文档。

存档文件包含一个混淆的JavaScript文件,执行后会获取另一个JavaScript文件,该文件通过计划任务触发以实现持久性。

在第二阶段,JavaScript被设计为运行一个PowerShell脚本,用于收集系统信息并将其渗入远程服务器,而远程服务器则会响应一个无限循环运行的PowerShell脚本,并允许威胁行为者分发各种有效载荷。

其中包括 GootBot,它每 60 秒向其 C2 服务器发出信标,获取 PowerShell 任务以供执行,并以 HTTP POST 请求的形式将执行结果传回服务器。

GootBot 的其他一些功能包括侦察和在环境中进行横向移动,从而有效地扩大了攻击规模。

研究人员说:Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的风险,例如与GootLoader链接的勒索软件附属活动。

参考链接:https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯