Yeni GootLoader Kötü Amaçlı Yazılım Varyantı Tespit Edilmekten Kaçınıyor ve Hızla Yayılıyor

IBM X-Force araştırmacıları Golo Mühr ve Ole Villadsen, "GootLoader grubunun saldırı zincirinin son aşamalarına kendi özel botlarını tanıtması, C2 için CobaltStrike veya RDP gibi kullanıma hazır araçları kullanırken tespitlerden kaçınma girişimidir" dedi.

"Bu yeni varyant, saldırganların ağa hızla yayılmasına ve daha fazla yük dağıtmasına olanak tanıyan hafif ama etkili bir kötü amaçlı yazılımdır."

GootLoader, adından da anlaşılacağı gibi, arama motoru optimizasyonu (SEO) zehirleme taktiklerini kullanarak potansiyel kurbanları cezbettikten sonra bir sonraki aşama kötü amaçlı yazılımları indirebilen bir kötü amaçlı yazılımdır. Hive0127 (diğer adıyla UNC2565) olarak izlenen bir tehdit aktörüyle bağlantılıdır.

GootBot'un kullanımı, CobaltStrike gibi sömürü sonrası çerçeveler yerine bir Gootloader enfeksiyonundan sonra bir yük olarak indirilen implantla taktiksel bir değişime işaret ediyor.

Gizlenmiş bir PowerShell komut dosyası olarak tanımlanan GootBot, komut ve kontrol için güvenliği ihlal edilmiş bir WordPress sitesine bağlanmak ve daha fazla komut almak üzere tasarlanmıştır.

İşleri daha da karmaşık hale getiren, yatırılan her GootBot örneği için benzersiz bir sabit kodlanmış C2 sunucusunun kullanılmasıdır ve bu da kötü amaçlı trafiği engellemeyi zorlaştırır.

Araştırmacılar, "Şu anda gözlemlenen kampanyalar, sözleşmeler, yasal formlar veya işle ilgili diğer belgeler gibi temalar için SEO zehirlenmiş aramalardan yararlanıyor ve kurbanları, ilk yükü bir arşiv dosyası olarak indirmeleri için kandırıldıkları meşru forumlar gibi görünecek şekilde tasarlanmış güvenliği ihlal edilmiş sitelere yönlendiriyor" dedi.

Arşiv dosyası, yürütüldüğünde, kalıcılık elde etmek için zamanlanmış bir görev aracılığıyla tetiklenen başka bir JavaScript dosyası getiren gizlenmiş bir JavaScript dosyası içerir.

İkinci aşamada JavaScript, sistem bilgilerini toplamak ve uzak bir sunucuya aktarmak için bir PowerShell betiği çalıştıracak şekilde tasarlanmıştır ve bu da sonsuz bir döngüde çalıştırılan ve tehdit aktörüne çeşitli yükleri dağıtmasını sağlayan bir PowerShell betiğiyle yanıt verir.

Bu, yürütme için PowerShell görevlerini getirmek ve yürütme sonuçlarını HTTP POST istekleri biçiminde sunucuya geri iletmek için her 2 saniyede bir C60 sunucusuna işaret eden GootBot'u içerir.

GootBot'un diğer yeteneklerinden bazıları, keşiften çevre boyunca yanal hareket gerçekleştirmeye ve saldırının ölçeğini etkili bir şekilde genişletmeye kadar uzanır.

Araştırmacılar, "Gootbot varyantının keşfi, saldırganların tespit edilmekten kaçınmak ve gizlice çalışmak için ne kadar ileri gideceklerini vurguluyor" dedi. "TTP'lerdeki ve araçlardaki bu değişim, GootLoader bağlantılı fidye yazılımı bağlı kuruluş etkinliği gibi başarılı istismar sonrası aşamaların riskini artırıyor."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği