GootBot-Malware

Cybersicherheitsexperten haben einen neuartigen Malware-Stamm namens GootBot identifiziert, der die Fähigkeit aufweist, laterale Bewegungen innerhalb kompromittierter Systeme zu erleichtern und gleichzeitig der Erkennung zu entgehen. Eine detaillierte Analyse dieser Bedrohung zeigt, dass es sich angeblich um eine neue Version handelt, die von der zuvor entdeckten GootLoader- Malware abgeleitet ist.

Bezeichnenderweise hat die GootLoader-Gruppe diesen benutzerdefinierten Bot strategisch in die späteren Phasen ihres Angriffsworkflows eingeführt, um Erkennungsmechanismen zu umgehen, insbesondere beim Einsatz leicht verfügbarer Command-and-Control (C2)-Tools wie CobaltStrike oder RDP. Diese neu aufkommende Variante zeichnet sich durch ihre leichte Natur, aber bemerkenswerte Wirksamkeit aus und ermöglicht es böswilligen Akteuren, sich über Netzwerke auszubreiten und schnell zusätzliche Nutzlasten bereitzustellen.

GootLoader ist, wie der Name schon sagt, auf das Herunterladen von Malware im Folgestadium spezialisiert, nachdem potenzielle Opfer durch Suchmaschinenoptimierungstaktiken (SEO) angelockt wurden. Dieser Malware-Stamm wurde mit einem Bedrohungsakteur namens Hive0127 in Verbindung gebracht, der in der Cybersicherheits-Community auch als UNC2565 bezeichnet wird.

Die GootBot-Malware-Angriffe können zu verfälschten Suchergebnissen führen

Die entdeckten GootBot-Kampagnen verfolgen eine neue Strategie mit SEO-verseuchten Suchergebnissen zu Themen wie Verträgen, Rechtsformen und anderen geschäftsbezogenen Dokumenten. Diese manipulierten Suchergebnisse führen ahnungslose Opfer auf kompromittierte Websites, die auf raffinierte Weise so gestaltet sind, dass sie legitimen Foren ähneln. Hier werden Opfer dazu verleitet, eine erste Nutzlast herunterzuladen, die geschickt in einer Archivdatei versteckt ist. Diese Archivdatei enthält eine verborgene JavaScript-Datei, die bei Aktivierung eine andere JavaScript-Datei abruft. Diese zweite Datei wird durch eine geplante Aufgabe ausgeführt, wodurch ihre Persistenz im kompromittierten System sichergestellt wird.

Der Einsatz von GootBot bedeutet einen bemerkenswerten Wandel in der Taktik. Anstatt sich auf Post-Exploitation-Frameworks wie CobaltStrike zu verlassen, wird GootBot nach einer GootLoader-Infektion als Nutzlast eingesetzt.

GootBot wird als verschleiertes PowerShell-Skript beschrieben, dessen Hauptfunktion darin besteht, zu Befehls- und Kontrollzwecken eine Verbindung zu einer kompromittierten WordPress-Site herzustellen. Über diese Verbindung erhält GootBot weitere Anweisungen, was die Situation komplexer macht. Bemerkenswert ist, dass jedes hinterlegte GootBot-Beispiel einen eigenen, hartcodierten Command-and-Control (C2)-Server verwendet, was es schwierig macht, bösartigen Netzwerkverkehr effektiv zu blockieren.

Die GootBot-Malware kann auf infizierten Geräten verschiedene invasive Funktionen ausführen

In der zweiten Phase der Angriffskette führt eine JavaScript-Komponente ein PowerShell-Skript aus, um Systeminformationen zu sammeln und an einen Remote-Server zu übertragen. Als Reaktion darauf sendet der Remote-Server ein PowerShell-Skript, das in einer Dauerschleife ausgeführt wird und dem Bedrohungsakteur die Möglichkeit gibt, verschiedene Nutzlasten zu verteilen.

Eine dieser Nutzlasten ist GootBot, das eine regelmäßige Kommunikation mit seinem Command-and-Control (C2)-Server aufrechterhält, alle 60 Sekunden PowerShell-Aufgaben zur Ausführung empfängt und die Ergebnisse über HTTP-POST-Anfragen übermittelt.

GootBot verfügt über eine Reihe von Fähigkeiten, von der Aufklärung bis zur Ermöglichung seitlicher Bewegungen innerhalb der Umgebung, wodurch der Umfang des Angriffs effektiv erweitert wird.

Das Aufkommen dieser GootBot-Variante unterstreicht die umfangreichen Maßnahmen, die Bedrohungsakteure zu ergreifen bereit sind, um der Entdeckung zu entgehen und verdeckt zu agieren. Diese Verschiebung der Taktiken, Techniken und Tools erhöht das Risiko, das mit erfolgreichen Post-Exploitation-Phasen verbunden ist, erheblich, insbesondere im Zusammenhang mit Ransomware-Partneraktivitäten im Zusammenhang mit GootLoader.