Logiciel malveillant GootBot

Les experts en cybersécurité ont identifié une nouvelle souche de malware connue sous le nom de GootBot, qui présente la capacité de faciliter les mouvements latéraux au sein des systèmes compromis tout en échappant à la détection. Une analyse détaillée de cette menace indique qu'il s'agit apparemment d'une nouvelle itération dérivée du malware GootLoader précédemment découvert.

Il est important de noter que le groupe GootLoader a stratégiquement introduit ce bot personnalisé dans les dernières étapes de son flux de travail d'attaque dans le but de contourner les mécanismes de détection, en particulier lors de l'utilisation d'outils de commande et de contrôle (C2) facilement disponibles comme CobaltStrike ou RDP. Cette variante nouvellement émergente se caractérise par sa légèreté mais son efficacité remarquable, permettant aux acteurs malveillants de se propager à travers les réseaux et de déployer rapidement des charges utiles supplémentaires.

GootLoader, comme son nom l'indique, se spécialise dans le téléchargement de logiciels malveillants ultérieurs après avoir attiré des victimes potentielles grâce à des tactiques d'empoisonnement d'optimisation des moteurs de recherche (SEO). Cette souche de malware a été associée à un acteur menaçant connu sous le nom de Hive0127, également identifié comme UNC2565 dans la communauté de la cybersécurité.

Les attaques de logiciels malveillants GootBot peuvent impliquer des résultats de recherche empoisonnés

Les campagnes GootBot découvertes ont adopté une nouvelle stratégie impliquant des résultats de recherche empoisonnés par le référencement liés à des sujets tels que les contrats, les formes juridiques et d'autres documents liés aux affaires. Ces résultats de recherche manipulés conduisent des victimes sans méfiance vers des sites Web compromis ingénieusement conçus pour ressembler à des forums légitimes. Ici, les victimes sont trompées et téléchargent une charge utile initiale intelligemment dissimulée dans un fichier d'archive. Ce fichier d'archive contient un fichier JavaScript masqué qui, une fois activé, récupère un autre fichier JavaScript. Ce deuxième fichier est exécuté via une tâche planifiée, garantissant sa persistance au sein du système compromis.

L'utilisation de GootBot signifie un changement notable de tactique. Au lieu de s'appuyer sur des frameworks de post-exploitation comme CobaltStrike, GootBot est utilisé comme charge utile suite à une infection GootLoader.

GootBot est décrit comme un script PowerShell obscurci dont la fonction principale est de se connecter à un site WordPress compromis à des fins de commande et de contrôle. C'est via cette connexion que GootBot reçoit des instructions supplémentaires, ce qui ajoute à la complexité de la situation. Notamment, chaque échantillon GootBot déposé utilise un serveur de commande et de contrôle (C2) distinct et codé en dur, ce qui rend difficile le blocage efficace du trafic réseau malveillant.

Le logiciel malveillant GootBot peut exécuter diverses fonctions invasives sur les appareils infectés

Lors de la deuxième étape de la chaîne d'attaque, un composant JavaScript exécute un script PowerShell dans le but de collecter des informations système et de les transmettre à un serveur distant. En réponse, le serveur distant envoie un script PowerShell qui s'exécute en boucle constante, offrant à l'acteur malveillant la possibilité de distribuer diverses charges utiles.

L'une de ces charges utiles est GootBot, qui maintient une communication régulière avec son serveur de commande et de contrôle (C2), contactant toutes les 60 secondes pour recevoir des tâches PowerShell à exécuter et transmettant les résultats via des requêtes HTTP POST.

GootBot dispose d'une gamme de capacités, allant de la reconnaissance à la possibilité de mouvements latéraux dans l'environnement, élargissant ainsi efficacement la portée de l'attaque.

L’émergence de cette variante de GootBot souligne les mesures étendues que les acteurs malveillants sont prêts à prendre pour échapper à la détection et opérer en secret. Ce changement de tactique, de techniques et d'outils augmente considérablement le risque associé aux étapes post-exploitation réussies, en particulier celles liées aux activités d'affiliation du ransomware associé à GootLoader.