Gootbot Malware

サイバーセキュリティの専門家は、GootBot として知られる新しいマルウェア株を特定しました。これは、検出を逃れながら、侵害されたシステム内で横方向の移動を促進する能力を示します。この脅威の詳細な分析により、これは表向き、以前に発見されたGootLoaderマルウェアに由来する新しい反復であることが示されています。

重要なのは、GootLoader グループが、特にCobaltStrikeや RDP などのすぐに利用できるコマンド アンド コントロール (C2) ツールを使用する場合、検出メカニズムを回避するために、攻撃ワークフローの後半段階にこのカスタム ボットを戦略的に導入したことです。この新たに出現した亜種は、軽量であると同時に注目に値する有効性を特徴としており、悪意のある攻撃者がネットワークを介して伝播し、追加のペイロードを迅速に展開できるようにします。

GootLoader は、その名前が示すように、検索エンジン最適化 (SEO) ポイズニング戦略を通じて潜在的な被害者を誘導した後、後続段階のマルウェアをダウンロードすることに特化しています。このマルウェア株は、Hive0127 として知られる脅威アクターに関連付けられており、サイバーセキュリティ コミュニティでは UNC2565 としても識別されています。

GootBot マルウェア攻撃には有害な検索結果が含まれる可能性がある

発見された GootBot キャンペーンは、契約書、法的書類、その他のビジネス関連文書などのトピックに関連する SEO 汚染された検索結果を含む新しい戦略を採用しています。これらの操作された検索結果は、何も知らない被害者を、正規のフォーラムに似せて巧妙に設計された侵害された Web サイトに誘導します。ここでは、被害者はだまされて、アーカイブ ファイル内に巧妙に隠された初期ペイロードをダウンロードさせられます。このアーカイブ ファイルには、アクティブ化されると別の JavaScript ファイルを取得する隠蔽された JavaScript ファイルが含まれています。この 2 番目のファイルは、スケジュールされたタスクを通じて実行され、侵害されたシステム内での永続性が保証されます。

GootBot の利用は、戦術の顕著な変化を意味します。 CobaltStrike などのエクスプロイト後のフレームワークに依存する代わりに、GootBot が GootLoader 感染後のペイロードとして使用されます。

GootBot は、コマンド アンド コントロールの目的で侵害された WordPress サイトに接続するという主な機能を備えた難読化された PowerShell スクリプトとして説明されています。この接続を通じて GootBot はさらなる指示を受け取り、状況がさらに複雑になります。特に、寄託された各 GootBot サンプルは、個別のハードコーディングされたコマンド アンド コントロール (C2) サーバーを採用しているため、悪意のあるネットワーク トラフィックを効果的にブロックすることが困難になっています。

GootBot マルウェアは、感染したデバイス上でさまざまな侵入機能を実行できます

攻撃チェーンの第 2 段階では、JavaScript コンポーネントがシステム情報を収集してリモート サーバーに送信することを目的とした PowerShell スクリプトを実行します。これに応じて、リモート サーバーは定数ループで実行される PowerShell スクリプトを送信し、脅威アクターにさまざまなペイロードを配布する機能を提供します。

これらのペイロードの 1 つである GootBot は、コマンド アンド コントロール (C2) サーバーとの定期的な通信を維持し、60 秒ごとにアクセスして実行する PowerShell タスクを受信し、結果を HTTP POST リクエスト経由で送信します。

GootBot は、偵察の実行から環境内での横方向の移動の可能化まで、幅広い機能を誇り、攻撃範囲を効果的に拡大します。

この GootBot 亜種の出現は、攻撃者が検出を逃れて秘密裏に活動するために積極的に広範な対策を講じていることを浮き彫りにしています。この戦術、技術、ツールの変化により、悪用成功後の段階、特に GootLoader 関連のランサムウェア アフィリエイト活動に関連する段階に関連するリスクが大幅に高まります。