انتشار سریع نسخه جدید بدافزار GootLoader

انتشار سریع نسخه جدید بدافزار GootLoader

تاریخ ایجاد

محققان IBM X-Force  نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کرده‌‌‌‌‌‌اند. این بدافزار جدید، به سرعت منتشر شده و سسیستم‌های زیادی را آلوده می‌کند و به سادگی نیز قابل شناسایی نیست.
براساس اعلام محققان IBM X-Force، گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان می‌‌‌‌‌‌دهد. بدافزار GootLoader به مهاجمان اجازه می‌دهد تا پس از جذب قربانیان به کمک راه‌‌‌‌‌‌کارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. این بدافزار با عامل مخرب Hive0127 (معروف به UNC2565) مرتبط است.
GootBot به یک تغییر تاکتیکی اشاره می‌کند که هدف آن دانلود یک محتوای بدافزاری، پس از آلوده‌‌‌‌‌‌شدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت (hard-coded) و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار می‌‌‌‌‌‌کند.
بدافزار GootBot هر 60 ثانیه یک بار اطلاعات را به سرور C2 خود ارسال می‌کند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواست‌های HTTP POST به سرور منتقل کند.
بدافزار GootLoader از راهکارهای SEO برای آلوده کردن سیستم‌های هدف استفاده می‌‌‌‌‌‌کند. در این شرایط کاربر در سایت‌‌‌‌‌‌های به ظاهر معتبر و قانونی، اقدام به پر کردن فرم‌‌‌‌‌‌هایی می‌‌‌‌‌‌کند و سپس پیامی به کاربر نشان داده می‌‌‌‌‌‌شود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.

توصیه‌های امنیتی
کشف GootBot نشان از عمق پیشرفت مهاجمان برای گریز از شناسایی و انجام اقدامات مخفیانه دارد. بنابراین کاربران باید در ورود به سایت‌‌‌‌‌‌ها و ثبت اطلاعات خود و سپس دانلود نسخه‌‌‌‌‌‌های آرشیوی از اطلاعات ثبت شده، دقت لازم را داشته باشند. به روزرسانی نرم‌‌‌‌‌‌افزارهای امنیتی جهت بررسی امنیتی فایل‌‌‌‌‌‌های دانلود شده و محدودسازی اجرای کدهای جاوا اسکریپت در مرورگرها، در جلوگیری از حملات این بدافزارها موثر است.

منابع خبر:
 

[1] https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html
[2] https://securityintelligence.com/x-force/gootbot-gootloaders-new-approach-to-post-exploitation/
[3] https://isp.page/news/new-gootloader-malware-variant-evades-detection-and-spreads-rapidly/
[4] https://duo.com/decipher/new-gootloader-malware-variant-harder-to-detect-block