.png)
Yeni GootLoader Kötü Amaçlı Yazılım Varyantı Tespit Edilmekten Kaçınıyor ve Hızla Yayılıyor
GootBot adlı GootLoader kötü amaçlı yazılımının yeni bir varyantının, güvenliği ihlal edilmiş sistemlerde yanal hareketi kolaylaştırdığı ve tespit edilmekten kaçındığı bulundu.
IBM X-Force araştırmacıları Golo Mühr ve Ole Villadsen, "GootLoader grubunun saldırı zincirinin son aşamalarına kendi özel botlarını tanıtması, C2 için CobaltStrike veya RDP gibi kullanıma hazır araçları kullanırken tespitlerden kaçınma girişimidir" dedi.
"Bu yeni varyant, saldırganların ağa hızla yayılmasına ve daha fazla yük dağıtmasına olanak tanıyan hafif ama etkili bir kötü amaçlı yazılımdır."
GootLoader, adından da anlaşılacağı gibi, arama motoru optimizasyonu (SEO) zehirleme taktiklerini kullanarak potansiyel kurbanları cezbettikten sonra bir sonraki aşama kötü amaçlı yazılımları indirebilen bir kötü amaçlı yazılımdır. Hive0127 (diğer adıyla UNC2565) olarak izlenen bir tehdit aktörüyle bağlantılıdır.
GootBot'un kullanımı, CobaltStrike gibi sömürü sonrası çerçeveler yerine bir Gootloader enfeksiyonundan sonra bir yük olarak indirilen implantla taktiksel bir değişime işaret ediyor.
Gizlenmiş bir PowerShell komut dosyası olarak tanımlanan GootBot, komut ve kontrol için güvenliği ihlal edilmiş bir WordPress sitesine bağlanmak ve daha fazla komut almak üzere tasarlanmıştır.
İşleri daha da karmaşık hale getiren, yatırılan her GootBot örneği için benzersiz bir sabit kodlanmış C2 sunucusunun kullanılmasıdır ve bu da kötü amaçlı trafiği engellemeyi zorlaştırır.
.png)
Araştırmacılar, "Şu anda gözlemlenen kampanyalar, sözleşmeler, yasal formlar veya işle ilgili diğer belgeler gibi temalar için SEO zehirlenmiş aramalardan yararlanıyor ve kurbanları, ilk yükü bir arşiv dosyası olarak indirmeleri için kandırıldıkları meşru forumlar gibi görünecek şekilde tasarlanmış güvenliği ihlal edilmiş sitelere yönlendiriyor" dedi.
Arşiv dosyası, yürütüldüğünde, kalıcılık elde etmek için zamanlanmış bir görev aracılığıyla tetiklenen başka bir JavaScript dosyası getiren gizlenmiş bir JavaScript dosyası içerir.
İkinci aşamada JavaScript, sistem bilgilerini toplamak ve uzak bir sunucuya aktarmak için bir PowerShell betiği çalıştıracak şekilde tasarlanmıştır ve bu da sonsuz bir döngüde çalıştırılan ve tehdit aktörüne çeşitli yükleri dağıtmasını sağlayan bir PowerShell betiğiyle yanıt verir.
Bu, yürütme için PowerShell görevlerini getirmek ve yürütme sonuçlarını HTTP POST istekleri biçiminde sunucuya geri iletmek için her 2 saniyede bir C60 sunucusuna işaret eden GootBot'u içerir.
GootBot'un diğer yeteneklerinden bazıları, keşiften çevre boyunca yanal hareket gerçekleştirmeye ve saldırının ölçeğini etkili bir şekilde genişletmeye kadar uzanır.
Araştırmacılar, "Gootbot varyantının keşfi, saldırganların tespit edilmekten kaçınmak ve gizlice çalışmak için ne kadar ileri gideceklerini vurguluyor" dedi. "TTP'lerdeki ve araçlardaki bu değişim, GootLoader bağlantılı fidye yazılımı bağlı kuruluş etkinliği gibi başarılı istismar sonrası aşamaların riskini artırıyor."
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı