Novi GootLoader izbjegava otkrivanje i brzo se širi
Utvrđeno je da nova varijanta zlonamjernog softvera GootLoader pod nazivom GootBot olakšava bočno kretanje na kompromitovanim sistemima i izbjegava otkrivanje.
GOOTLOADER
GootLoader, što se može zaključiti iz naziva, je zlonamjerni softver sposoban da preuzme zlonamjerni softver sljedeće faze nakon što namami potencijalne žrtve korištenjem taktike trovanja optimizacijom pretraživača (SEO), nakon čega bi napadači učitavali ransomware, IcedID, SystemBC i CobaltStrike alate ili koristili RDP za širenje unutar mreže. Aktivan je od 2014. godine i povezan je sa zlonamjernim akterom koji se prati kao Hive0127 (ili UNC2565). Hive0127 obično cilja Internet pretrage za ugovore, pravne forme ili druge dokumente u vezi sa poslovanjem.
Metama se servira kompromitovana Internet lokacija modifikovana da se pojavljuje kao legitimni forum na vrhu stranice rezultata zatrovanog pretraživača. U okviru razgovora na forumu, mete se prevarom nagovaraju da preuzmu arhivsku datoteku koja se odnosi na njihove početne termine za pretragu, ali koja zapravo sadrži GootLoader zlonamjerni softver.
GOOTBOT
Zlonamjerni akteri koji stoje iza GootLoader zlonamjernog softvera izvršili su i uvođenje sopstvenog prilagođenog bota u kasnim fazama njihovog lanca napada je pokušaj da se izbjegnu otkrivanje kada se koriste gotovi alati za C2 kao što su CobaltStrike ili RDP. Ova nova varijanta je lagan, ali efikasan zlonamjerni softver koji omogućava napadačima da se brzo šire širom mreže i raspoređuju dalje korisne sadržaje.
Za razliku od GootLoader zlonamjernog softvera koji je ranije posmatran kao zlonamjerni softver za početni pristup, kampanje koje koriste GootBot za bočno kretanje predstavljaju značajnu promjenu u ponašanju nakon infekcije, jer ovaj prilagođeni alat omogućava zlonamjernim akterima da ostanu ispod radara duži period.
GootBot se preuzima kao korisni teret nakon infekcije GootLoader zlonamjernim softverom i ima mogućnost da prima C2 zadatke u obliku šifrovanih PowerShell skripti, koje se pokreću kao poslovi. Za razliku od GootLoader zlonamjernog softvera, GootBot je lagana zamagljena PowerShell skripta, koja sadrži samo jedan C2 server.
GootBot implantati, od kojih svaki sadrži drugačiji C2 server koji radi na WordPress lokaciji pod kontrolom zlonamjernog aktera, širili su se po zaraženim domenima preduzeća u velikom broju u nadi da će doći do kontrolora domena. Ova promjena u ponašanju u procesu infekcije i alatima povećava rizik od uspješnih faza nakon eksploatacije, kao što je aktivnost pridruženog ransomvare zlonamjernog softvera povezana sa GootLoader zlonamjernim softverom.
Bočno kretanje
GootBot je dizajniran da se širi bočno po okolini. Kada se inicijalni uređaj inficira, GootBot prima brojne skripte koje nabrajaju uređaj kao i domen. Primijećeno je da nekoliko skripti koje koriste različite tehnike za širenje ugrađenog GootBot korisnog tereta na druge uređaje. C2 infrastruktura GootBot zlonamjernog softvera može brzo da generiše veliki broj GootBot korisnih podataka koji će biti distribuirani, svaki sa različitom C2 adresom za kontakt. Oni se primjenjuju pomoću skripti za bočno kretanje na automatizovan način, što takođe može dovesti do toga da se uređaji ponovo inficiraju više puta.
Prikupljanje osnovnih podataka
GootBot pokreće skriptu za izviđanje kao jedan od svojih prvih zadataka koja sadrži jedinstveni GootBot ID za uređaj, a prikuplja sljedeće informacije i šalje zlonamjernom akteru:
- Domensko korisničko ime
- Operativni sistem
- Arhitektura sistema (x64/x86)
- Domenski kontroler
- Pokrenuti procesi
- Bezbjednosni identifikator (SID)
- Lokalnu IP adresu
- Naziv uređaja
ZAKLJUČAK
Otkriće ove GootBot varijante naglašava napor koji će napadači uložiti da izbjegnu otkrivanje i djeluju prikriveno. Ovo je veoma efikasan zlonamjerni softver koji omogućava napadačima da se kreću bočno kroz okruženje sa lakoćom i brzinom i proširuju svoje napade. Pored toga, korištenje velikih grupa kompromitovanih WordPress domena od strane Hive0127 otežava bezbjednosnim stručnjacima da blokiraju zlonamjerni saobraćaj. Pošto GootLoader često služi za omogućavanje inicijalnog pristupa, svest o ovim tehnikama, taktikama i procedurama uz alate koji se razvijaju je važna za ublažavanje rizika od uticajnih aktivnosti nakon eksploatacije.
ZAŠTITA
- Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da biste efikasno identifikovali i spriječili zlonamjerne aktivnosti.
- Poslovne organizacije treba da osiguraju da je evidentiranje blokova skripti omogućeno i da prate relevantne evidencije Windows događaja.
- Pratiti izvršavanje JavaScript datoteka koje su preuzete unutar ZIP arhiva.
- Pratiti pokretanje planiranih zadataka pomoću wscript.exe za izvršavanje JavaScript datoteka.
- Pratiti mrežni saobraćaj za HTTP zahtjevima sa adresama koje se završavaju sa “xmlrpc.php”
- Pratiti bočno kretanje preko WinRM, WMI ili SCM.
- Onemogućiti ili nadgledajte komandu “Start-Job” u svom okruženju.