Yeni GootLoader Kötü Amaçlı Yazılım Varyantı Tespit Edilmekten Kaçınıyor ve Hızla Yayılıyor
GootBot adlı GootLoader kötü amaçlı yazılımının yeni bir varyantının, güvenliği ihlal edilmiş sistemlerde yanal hareketi kolaylaştırdığı ve tespit edilmekten kaçındığı bulundu.
IBM X-Force araştırmacıları Golo Mühr ve Ole Villadsen, "GootLoader grubunun saldırı zincirinin son aşamalarına kendi özel botlarını tanıtması, C2 için CobaltStrike veya RDP gibi kullanıma hazır araçları kullanırken tespitlerden kaçınma girişimidir" dedi.
"Bu yeni varyant, saldırganların ağa hızla yayılmasına ve daha fazla yük dağıtmasına olanak tanıyan hafif ama etkili bir kötü amaçlı yazılımdır."
GootLoader, adından da anlaşılacağı gibi, arama motoru optimizasyonu (SEO) zehirleme taktiklerini kullanarak potansiyel kurbanları cezbettikten sonra bir sonraki aşama kötü amaçlı yazılımları indirebilen bir kötü amaçlı yazılımdır. Hive0127 (diğer adıyla UNC2565) olarak izlenen bir tehdit aktörüyle bağlantılıdır.
GootBot'un kullanımı, CobaltStrike gibi sömürü sonrası çerçeveler yerine bir Gootloader enfeksiyonundan sonra bir yük olarak indirilen implantla taktiksel bir değişime işaret ediyor.
Gizlenmiş bir PowerShell komut dosyası olarak tanımlanan GootBot, komut ve kontrol için güvenliği ihlal edilmiş bir WordPress sitesine bağlanmak ve daha fazla komut almak üzere tasarlanmıştır.
İşleri daha da karmaşık hale getiren, yatırılan her GootBot örneği için benzersiz bir sabit kodlanmış C2 sunucusunun kullanılmasıdır ve bu da kötü amaçlı trafiği engellemeyi zorlaştırır.
Araştırmacılar, "Şu anda gözlemlenen kampanyalar, sözleşmeler, yasal formlar veya işle ilgili diğer belgeler gibi temalar için SEO zehirlenmiş aramalardan yararlanıyor ve kurbanları, ilk yükü bir arşiv dosyası olarak indirmeleri için kandırıldıkları meşru forumlar gibi görünecek şekilde tasarlanmış güvenliği ihlal edilmiş sitelere yönlendiriyor" dedi.
Arşiv dosyası, yürütüldüğünde, kalıcılık elde etmek için zamanlanmış bir görev aracılığıyla tetiklenen başka bir JavaScript dosyası getiren gizlenmiş bir JavaScript dosyası içerir.
İkinci aşamada JavaScript, sistem bilgilerini toplamak ve uzak bir sunucuya aktarmak için bir PowerShell betiği çalıştıracak şekilde tasarlanmıştır ve bu da sonsuz bir döngüde çalıştırılan ve tehdit aktörüne çeşitli yükleri dağıtmasını sağlayan bir PowerShell betiğiyle yanıt verir.
Bu, yürütme için PowerShell görevlerini getirmek ve yürütme sonuçlarını HTTP POST istekleri biçiminde sunucuya geri iletmek için her 2 saniyede bir C60 sunucusuna işaret eden GootBot'u içerir.
GootBot'un diğer yeteneklerinden bazıları, keşiften çevre boyunca yanal hareket gerçekleştirmeye ve saldırının ölçeğini etkili bir şekilde genişletmeye kadar uzanır.
Araştırmacılar, "Gootbot varyantının keşfi, saldırganların tespit edilmekten kaçınmak ve gizlice çalışmak için ne kadar ileri gideceklerini vurguluyor" dedi. "TTP'lerdeki ve araçlardaki bu değişim, GootLoader bağlantılı fidye yazılımı bağlı kuruluş etkinliği gibi başarılı istismar sonrası aşamaların riskini artırıyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı