一種名為 GootBot 的 GootLoader 惡意軟件新變種已被發(fā)現(xiàn)，它能在被入侵系統(tǒng)上進行橫向移動并逃避檢測。

IBM X-Force 研究人員 Golo Mühr 和 Ole Villadsen 說：GootLoader 組織在其攻擊鏈的后期階段引入了自己定制的機器人，試圖在使用 CobaltStrike 或 RDP 等現(xiàn)成的 C2 工具時逃避檢測。

這種新變種是一種輕量級但有效的惡意軟件，允許攻擊者在整個網(wǎng)絡中快速傳播并部署更多的有效載荷。

顧名思義，GootLoader 是一種惡意軟件，能夠利用搜索引擎優(yōu)化 (SEO) 中毒策略引誘潛在受害者下載下一階段的惡意軟件。它與一個名為 Hive0127（又名 UNC2565）的威脅行為者有關(guān)。

GootBot 的使用表明了一種戰(zhàn)術(shù)轉(zhuǎn)變，即在 Gootloader 感染后作為有效載荷下載植入程序，而不是使用 CobaltStrike 等后開發(fā)框架。

GootBot 是一個經(jīng)過混淆的 PowerShell 腳本，其目的是連接到被入侵的 WordPress 網(wǎng)站進行命令和控制，并接收進一步的命令。

使問題更加復雜的是，每個存入的 GootBot 樣本都使用了一個唯一的硬編碼 C2 服務器，因此很難阻止惡意流量。

GootLoader 惡意軟件

研究人員說：目前觀察到的活動利用病毒化的搜索合同、法律表格或其他商業(yè)相關(guān)文件等主題，將受害者引向設計成合法論壇的受攻擊網(wǎng)站，誘使他們下載帶有病毒的文件、文檔。

存檔文件包含一個混淆的JavaScript文件，執(zhí)行后會獲取另一個JavaScript文件，該文件通過計劃任務觸發(fā)以實現(xiàn)持久性。

在第二階段，JavaScript被設計為運行一個PowerShell腳本，用于收集系統(tǒng)信息并將其滲入遠程服務器，而遠程服務器則會響應一個無限循環(huán)運行的PowerShell腳本，并允許威脅行為者分發(fā)各種有效載荷。

其中包括 GootBot，它每 60 秒向其 C2 服務器發(fā)出信標，獲取 PowerShell 任務以供執(zhí)行，并以 HTTP POST 請求的形式將執(zhí)行結(jié)果傳回服務器。

GootBot 的其他一些功能包括偵察和在環(huán)境中進行橫向移動，從而有效地擴大了攻擊規(guī)模。

研究人員說：Gootbot 變體的發(fā)現(xiàn)讓我們看到了攻擊者為躲避檢測和隱蔽操作而做的努力。TTPs和工具的這種轉(zhuǎn)變增加了成功開發(fā)后階段的風險，例如與GootLoader鏈接的勒索軟件附屬活動。

參考鏈接：https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html