IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说:GootLoader 组织在其攻击链的后期阶段引入了自己定制的机器人,试图在使用 CobaltStrike 或 RDP 等现成的 C2 工具时逃避检测。
这种新变种是一种轻量级但有效的恶意软件,允许攻击者在整个网络中快速传播并部署更多的有效载荷。
顾名思义,GootLoader 是一种恶意软件,能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意软件。它与一个名为 Hive0127(又名 UNC2565)的威胁行为者有关。
GootBot 的使用表明了一种战术转变,即在 Gootloader 感染后作为有效载荷下载植入程序,而不是使用 CobaltStrike 等后开发框架。
GootBot 是一个经过混淆的 PowerShell 脚本,其目的是连接到被入侵的 WordPress 网站进行命令和控制,并接收进一步的命令。
使问题更加复杂的是,每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器,因此很难阻止恶意流量。
GootLoader 恶意软件
研究人员说:目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题,将受害者引向设计成合法论坛的受攻击网站,诱使他们下载带有病毒的文件、文档。
存档文件包含一个混淆的JavaScript文件,执行后会获取另一个JavaScript文件,该文件通过计划任务触发以实现持久性。
在第二阶段,JavaScript被设计为运行一个PowerShell脚本,用于收集系统信息并将其渗入远程服务器,而远程服务器则会响应一个无限循环运行的PowerShell脚本,并允许威胁行为者分发各种有效载荷。
其中包括 GootBot,它每 60 秒向其 C2 服务器发出信标,获取 PowerShell 任务以供执行,并以 HTTP POST 请求的形式将执行结果传回服务器。
GootBot 的其他一些功能包括侦察和在环境中进行横向移动,从而有效地扩大了攻击规模。
研究人员说:Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的风险,例如与GootLoader链接的勒索软件附属活动。
参考链接:https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html