Новости GootBot: новая угроза с уникальным подходом к управлению системой

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
IBM описала преемника GootLoader и трудности блокировки его серверов.


d5ud8d52jj9hrdfp141ckhc7ey28t27d.jpg


Команда IBM X-Force Для просмотра ссылки Войди или Зарегистрируйся новый вариант загрузчика GootLoader, получивший название GootBot. Новая версия позволяет совершать боковое перемещение (Lateral Movement) на скомпрометированных системах и уклоняться от обнаружения. GootLoader, использующий тактику SEO poisoning (отравление поисковой выдачи), известен способностью доставлять в систему вредоносное ПО следующего этапа и связан с группировкой Hive0127 (UNC2565).

GootBot представляет собой обфусцированный скрипт PowerShell , предназначенный для соединения со скомпрометированным сайтом WordPress для получения дополнительных команд. Осложняет ситуацию использование уникального жестко закодированного C2 -сервера (Command and Control, C2) для каждого образца GootBot, что затрудняет блокировку вредоносного трафика.

Обнаруженные кампании используют отравленные результаты поиска по темам, связанным с юридическими документами и формами. Результаты поиска направляют жертв на скомпрометированные сайты, которые маскируются под легитимные форумы и предлагают жертвам скачать архив, содержащий начальную полезную нагрузку.

Архив содержит обфусцированный файл JavaScript , который после выполнения извлекает другой файл JavaScript. Файл активируется через запланированную задачу для достижения постоянства. На втором этапе JavaScript запускает скрипт PowerShell для сбора информации о системе и ее эксфильтрации на удаленный сервер, который, в свою очередь, отвечает скриптом PowerShell, выполняемым в бесконечном цикле. Такая тактика позволяет хакерам активно распространять различные полезные нагрузки. GootBot каждые 60 секунд отправляет сигнал на свой C2-сервер, чтобы получить задачи PowerShell для выполнения и отправлять результаты выполнения обратно на сервер в виде HTTP POST-запросов.

Возможности GootBot варьируются от разведки до осуществления бокового перемещения, эффективно расширяя масштаб атаки. Обнаружение варианта Gootbot подчеркивает, какие усилия предпринимают киберпреступники, чтобы избежать обнаружения и работать скрытно, увеличивая шанс успешного выполнения этапов после эксплуатации.
 
Источник новости
www.securitylab.ru

Похожие темы