انتشار سریع نسخه جدید بدافزار GootLoader
محققان IBM X-Force نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کردهاند. این بدافزار جدید، به سرعت منتشر شده و سسیستمهای زیادی را آلوده میکند و به سادگی نیز قابل شناسایی نیست.
براساس اعلام محققان IBM X-Force، گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان میدهد. بدافزار GootLoader به مهاجمان اجازه میدهد تا پس از جذب قربانیان به کمک راهکارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. این بدافزار با عامل مخرب Hive0127 (معروف به UNC2565) مرتبط است.
GootBot به یک تغییر تاکتیکی اشاره میکند که هدف آن دانلود یک محتوای بدافزاری، پس از آلودهشدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت (hard-coded) و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار میکند.
بدافزار GootBot هر 60 ثانیه یک بار اطلاعات را به سرور C2 خود ارسال میکند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواستهای HTTP POST به سرور منتقل کند.
بدافزار GootLoader از راهکارهای SEO برای آلوده کردن سیستمهای هدف استفاده میکند. در این شرایط کاربر در سایتهای به ظاهر معتبر و قانونی، اقدام به پر کردن فرمهایی میکند و سپس پیامی به کاربر نشان داده میشود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.
کشف GootBot نشان از عمق پیشرفت مهاجمان برای گریز از شناسایی و انجام اقدامات مخفیانه دارد. بنابراین کاربران باید در ورود به سایتها و ثبت اطلاعات خود و سپس دانلود نسخههای آرشیوی از اطلاعات ثبت شده، دقت لازم را داشته باشند. به روزرسانی نرمافزارهای امنیتی جهت بررسی امنیتی فایلهای دانلود شده و محدودسازی اجرای کدهای جاوا اسکریپت در مرورگرها، در جلوگیری از حملات این بدافزارها موثر است.