Il a été découvert qu’une nouvelle variante du malware GootLoader, appelée GootBot, facilite les mouvements latéraux sur les systèmes compromis et échappe à la détection.
« L’introduction par le groupe GootLoader de son propre bot personnalisé dans les dernières étapes de sa chaîne d’attaque est une tentative d’éviter les détections lors de l’utilisation d’outils disponibles dans le commerce pour C2 tels que CobaltStrike ou RDP », ont déclaré Golo Mühr et Ole, chercheurs d’IBM X-Force. Villadsen dit.
« Cette nouvelle variante est un malware léger mais efficace qui permet aux attaquants de se propager rapidement sur le réseau et de déployer d’autres charges utiles. »
GootLoader, comme son nom l’indique, est un malware capable de télécharger un malware de niveau supérieur après avoir attiré des victimes potentielles à l’aide de tactiques d’empoisonnement d’optimisation des moteurs de recherche (SEO). Il est lié à un acteur menaçant suivi sous le nom de Hive0127 (alias UNC2565).
L’utilisation de GootBot indique un changement tactique, avec l’implant téléchargé en tant que charge utile après une infection par Gootloader au lieu de frameworks post-exploitation tels que CobaltStrike. »
Décrit comme un script PowerShell obscurci, GootBot est conçu pour se connecter à un site WordPress compromis à des fins de commande et de contrôle et recevoir d’autres commandes.
L’utilisation d’un serveur C2 codé en dur unique pour chaque échantillon GootBot déposé complique encore les choses, ce qui rend difficile le blocage du trafic malveillant.
« Les campagnes actuellement observées exploitent des recherches empoisonnées par le référencement sur des thèmes tels que des contrats, des formulaires juridiques ou d’autres documents liés à l’entreprise, dirigeant les victimes vers des sites compromis conçus pour ressembler à des forums légitimes où elles sont amenées à télécharger la charge utile initiale sous forme de fichier d’archive. « , ont déclaré les chercheurs.
Le fichier d’archive intègre un fichier JavaScript masqué qui, lors de son exécution, récupère un autre fichier JavaScript déclenché via une tâche planifiée pour assurer la persistance.
Dans la deuxième étape, JavaScript est conçu pour exécuter un script PowerShell permettant de collecter des informations système et de les exfiltrer vers un serveur distant, qui, à son tour, répond avec un script PowerShell exécuté en boucle infinie et permettant à l’acteur menaçant de distribuer diverses charges utiles. .
Cela inclut GootBot, qui se connecte à son serveur C2 toutes les 60 secondes pour récupérer les tâches PowerShell à exécuter et transmettre les résultats de l’exécution au serveur sous la forme de requêtes HTTP POST.
Certaines des autres capacités de GootBot vont de la reconnaissance à l’exécution de mouvements latéraux à travers l’environnement, élargissant ainsi l’ampleur de l’attaque.
« La découverte de la variante Gootbot met en évidence les efforts déployés par les attaquants pour échapper à la détection et opérer de manière furtive », ont déclaré les chercheurs. « Ce changement dans les TTP et les outils augmente le risque de réussite des étapes post-exploitation, telles que l’activité d’affiliation du ransomware lié à GootLoader. »