Yeni GootLoader Kötü Amaçlı Yazılım Varyantı Tespitten Kaçıyor ve Hızla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri

Yeni GootLoader Kötü Amaçlı Yazılım Varyantı Tespitten Kaçıyor ve Hızla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri

İkinci aşamada, JavaScript, sistem bilgilerini toplamak ve uzak bir sunucuya aktarmak için bir PowerShell betiği çalıştıracak şekilde tasarlanmıştır; bu da, sonsuz bir döngüde çalıştırılan bir PowerShell betiğiyle yanıt verir ve tehdit aktörüne çeşitli yükleri dağıtma izni verir

Buna, yürütülmek üzere PowerShell görevlerini getirmek ve yürütme sonuçlarını HTTP POST istekleri biçiminde sunucuya geri göndermek için her 60 saniyede bir C2 sunucusuna işaret veren GootBot da dahildir

“Şu anda gözlemlenen kampanyalar, sözleşmeler, yasal formlar veya işle ilgili diğer belgeler gibi temalar için SEO zehirli aramalardan yararlanıyor ve kurbanları, ilk veriyi bir arşiv dosyası olarak indirmeleri için kandırıldıkları meşru forumlar gibi görünmek üzere tasarlanmış, güvenliği ihlal edilmiş sitelere yönlendiriyor

Arşiv dosyası, yürütüldüğünde kalıcılığı sağlamak için zamanlanmış bir görev aracılığıyla tetiklenen başka bir JavaScript dosyasını getiren, gizlenmiş bir JavaScript dosyası içerir ” dedi araştırmacılar

IBM X-Force araştırmacıları Golo Mühr ve Ole, “GootLoader grubunun kendi özel botlarını saldırı zincirlerinin son aşamalarına dahil etmesi, C2 için CobaltStrike veya RDP gibi hazır araçları kullanırken tespitleri engelleme girişimidir Hive0127 (diğer adıyla UNC2565) olarak takip edilen bir tehdit aktörüyle bağlantılı

GootBot’un kullanımı, Gootloader enfeksiyonu sonrasında implantın CobaltStrike gibi sömürü sonrası çerçeveler yerine yük olarak indirilmesiyle taktiksel bir değişime işaret ediyor ”



siber-2

Gizlenmiş bir PowerShell betiği olarak tanımlanan GootBot, komuta ve kontrol için güvenliği ihlal edilmiş bir WordPress sitesine bağlanmak ve daha fazla komut almak üzere tasarlanmıştır


07 Kasım 2023Haber odasıUç Nokta Güvenliği / Kötü Amaçlı Yazılım

GootBot adı verilen GootLoader kötü amaçlı yazılımının yeni bir çeşidinin, güvenliği ihlal edilmiş sistemlerde yanal hareketi kolaylaştırdığı ve tespit edilmekten kaçındığı bulunmuştur

GootBot’un diğer yeteneklerinden bazıları keşiften çevrede yanal hareket gerçekleştirmeye kadar uzanır ve saldırının ölçeğini etkili bir şekilde genişletir ” Villadsen söz konusu “TTP’lerdeki ve araçlardaki bu değişim, GootLoader bağlantılı fidye yazılımı ortaklık faaliyetleri gibi başarılı istismar sonrası aşamaların riskini artırıyor ”

GootLoader, adından da anlaşılacağı gibi, arama motoru optimizasyonu (SEO) zehirleme taktiklerini kullanarak potansiyel kurbanları cezbettikten sonra sonraki aşamadaki kötü amaçlı yazılımları indirebilen bir kötü amaçlı yazılımdır

İşleri daha da karmaşık hale getiren şey, yatırılan her GootBot örneği için benzersiz bir sabit kodlu C2 sunucusunun kullanılmasıdır, bu da kötü amaçlı trafiğin engellenmesini zorlaştırır

Araştırmacılar, “Gootbot varyantının keşfi, saldırganların tespit edilmekten kaçma ve gizlice faaliyet gösterme konusunda ne kadar ileri gidebileceğini ortaya koyuyor” dedi

“Bu yeni varyant, saldırganların ağa hızla yayılmasına ve daha fazla veri dağıtmasına olanak tanıyan hafif ama etkili bir kötü amaçlı yazılımdır