IBM описала преемника GootLoader и трудности блокировки его серверов.
Команда IBM X-Force Для просмотра ссылки Войдиили Зарегистрируйся новый вариант загрузчика GootLoader, получивший название GootBot. Новая версия позволяет совершать боковое перемещение (Lateral Movement) на скомпрометированных системах и уклоняться от обнаружения. GootLoader, использующий тактику SEO poisoning (отравление поисковой выдачи), известен способностью доставлять в систему вредоносное ПО следующего этапа и связан с группировкой Hive0127 (UNC2565).
GootBot представляет собой обфусцированный скрипт PowerShell , предназначенный для соединения со скомпрометированным сайтом WordPress для получения дополнительных команд. Осложняет ситуацию использование уникального жестко закодированного C2 -сервера (Command and Control, C2) для каждого образца GootBot, что затрудняет блокировку вредоносного трафика.
Обнаруженные кампании используют отравленные результаты поиска по темам, связанным с юридическими документами и формами. Результаты поиска направляют жертв на скомпрометированные сайты, которые маскируются под легитимные форумы и предлагают жертвам скачать архив, содержащий начальную полезную нагрузку.
Архив содержит обфусцированный файл JavaScript , который после выполнения извлекает другой файл JavaScript. Файл активируется через запланированную задачу для достижения постоянства. На втором этапе JavaScript запускает скрипт PowerShell для сбора информации о системе и ее эксфильтрации на удаленный сервер, который, в свою очередь, отвечает скриптом PowerShell, выполняемым в бесконечном цикле. Такая тактика позволяет хакерам активно распространять различные полезные нагрузки. GootBot каждые 60 секунд отправляет сигнал на свой C2-сервер, чтобы получить задачи PowerShell для выполнения и отправлять результаты выполнения обратно на сервер в виде HTTP POST-запросов.
Возможности GootBot варьируются от разведки до осуществления бокового перемещения, эффективно расширяя масштаб атаки. Обнаружение варианта Gootbot подчеркивает, какие усилия предпринимают киберпреступники, чтобы избежать обнаружения и работать скрытно, увеличивая шанс успешного выполнения этапов после эксплуатации.
Команда IBM X-Force Для просмотра ссылки Войди
GootBot представляет собой обфусцированный скрипт PowerShell , предназначенный для соединения со скомпрометированным сайтом WordPress для получения дополнительных команд. Осложняет ситуацию использование уникального жестко закодированного C2 -сервера (Command and Control, C2) для каждого образца GootBot, что затрудняет блокировку вредоносного трафика.
Обнаруженные кампании используют отравленные результаты поиска по темам, связанным с юридическими документами и формами. Результаты поиска направляют жертв на скомпрометированные сайты, которые маскируются под легитимные форумы и предлагают жертвам скачать архив, содержащий начальную полезную нагрузку.
Архив содержит обфусцированный файл JavaScript , который после выполнения извлекает другой файл JavaScript. Файл активируется через запланированную задачу для достижения постоянства. На втором этапе JavaScript запускает скрипт PowerShell для сбора информации о системе и ее эксфильтрации на удаленный сервер, который, в свою очередь, отвечает скриптом PowerShell, выполняемым в бесконечном цикле. Такая тактика позволяет хакерам активно распространять различные полезные нагрузки. GootBot каждые 60 секунд отправляет сигнал на свой C2-сервер, чтобы получить задачи PowerShell для выполнения и отправлять результаты выполнения обратно на сервер в виде HTTP POST-запросов.
Возможности GootBot варьируются от разведки до осуществления бокового перемещения, эффективно расширяя масштаб атаки. Обнаружение варианта Gootbot подчеркивает, какие усилия предпринимают киберпреступники, чтобы избежать обнаружения и работать скрытно, увеличивая шанс успешного выполнения этапов после эксплуатации.
- Источник новости
- www.securitylab.ru