新型 GootLoader 恶意软件变种逃避检测并迅速传播
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
IBM X-Force发现GootBot恶意软件新变种,能够在被入侵系统上进行横向移动并逃避检测。攻击者利用病毒化的搜索合同、法律表格或其他商业相关文件等主题,将受害者引向受攻击网站,诱使他们下载带有病毒的文件。
🎯
关键要点
- IBM X-Force发现GootBot恶意软件新变种,能够在被入侵系统上进行横向移动并逃避检测。
- GootLoader组织在攻击链后期引入定制的GootBot,试图逃避CobaltStrike或RDP等现成C2工具的检测。
- GootBot是一种轻量级恶意软件,允许攻击者在网络中快速传播并部署更多有效载荷。
- GootBot利用搜索引擎优化中毒策略诱导受害者下载恶意软件,与威胁行为者Hive0127(UNC2565)相关。
- GootBot是经过混淆的PowerShell脚本,连接被入侵的WordPress网站进行命令和控制。
- 每个GootBot样本使用唯一的硬编码C2服务器,难以阻止恶意流量。
- 攻击者利用病毒化的搜索合同、法律表格等主题诱导受害者下载带病毒的文件。
- 存档文件包含混淆的JavaScript,执行后获取另一个JavaScript文件以实现持久性。
- 第二阶段的JavaScript运行PowerShell脚本,收集系统信息并渗透远程服务器。
- GootBot每60秒向C2服务器发出信标,获取PowerShell任务并将执行结果返回。
- GootBot的功能包括侦察和横向移动,扩大攻击规模。
- GootBot变体的发现显示攻击者为躲避检测而做出的努力,增加了后阶段成功开发的风险。
➡️
