一種名為 GootBot 的 GootLoader 惡意軟件新變種已被發(fā)現，它能在被入侵系統(tǒng)上進行橫向移動并逃避檢測。

IBM X-Force 研究人員 Golo Mühr 和 Ole Villadsen 說：GootLoader 組織在其攻擊鏈的后期階段引入了自己定制的機器人，試圖在使用 CobaltStrike 或 RDP 等現成的 C2 工具時逃避檢測。

這種新變種是一種輕量級但有效的惡意軟件，允許攻擊者在整個網絡中快速傳播并部署更多的有效載荷。

顧名思義，GootLoader 是一種惡意軟件，能夠利用搜索引擎優(yōu)化 (SEO) 中毒策略引誘潛在受害者下載下一階段的惡意軟件。它與一個名為 Hive0127（又名 UNC2565）的威脅行為者有關。

GootBot 的使用表明了一種戰(zhàn)術轉變，即在 Gootloader 感染后作為有效載荷下載植入程序，而不是使用 CobaltStrike 等后開發(fā)框架。

GootBot 是一個經過混淆的 PowerShell 腳本，其目的是連接到被入侵的 WordPress 網站進行命令和控制，并接收進一步的命令。

使問題更加復雜的是，每個存入的 GootBot 樣本都使用了一個唯一的硬編碼 C2 服務器，因此很難阻止惡意流量。

GootLoader 惡意軟件

研究人員說：目前觀察到的活動利用病毒化的搜索合同、法律表格或其他商業(yè)相關文件等主題，將受害者引向設計成合法論壇的受攻擊網站，誘使他們下載帶有病毒的文件、文檔。

存檔文件包含一個混淆的JavaScript文件，執(zhí)行后會獲取另一個JavaScript文件，該文件通過計劃任務觸發(fā)以實現持久性。

在第二階段，JavaScript被設計為運行一個PowerShell腳本，用于收集系統(tǒng)信息并將其滲入遠程服務器，而遠程服務器則會響應一個無限循環(huán)運行的PowerShell腳本，并允許威脅行為者分發(fā)各種有效載荷。

其中包括 GootBot，它每 60 秒向其 C2 服務器發(fā)出信標，獲取 PowerShell 任務以供執(zhí)行，并以 HTTP POST 請求的形式將執(zhí)行結果傳回服務器。

GootBot 的其他一些功能包括偵察和在環(huán)境中進行橫向移動，從而有效地擴大了攻擊規(guī)模。

研究人員說：Gootbot 變體的發(fā)現讓我們看到了攻擊者為躲避檢測和隱蔽操作而做的努力。TTPs和工具的這種轉變增加了成功開發(fā)后階段的風險，例如與GootLoader鏈接的勒索軟件附屬活動。

參考鏈接：https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html