关键词
恶意软件
GootLoader恶意软件的一个新的变种称为GootBot已被发现,以促进横向移动受损的系统和逃避检测。
IBM X部队的研究人员Golo Mühr和OLE Villadsen说:“GootLoader集团在攻击链的后期阶段引入了自己的自定义机器人,这是为了避免在C2使用现成的工具,如CobaltStrike或RDP。”
“这个新的变种是一个轻量级的,但有效的恶意软件允许攻击者在整个网络中迅速传播,并部署进一步的有效载荷。”
GootLoader,顾名思义,是一种利用搜索引擎优化(SEO)毒害策略引诱潜在受害者后,能够下载下一阶段恶意软件的恶意软件。它与一个被追踪为Hive0127(又名UNC2565)的威胁参与者相关联。
GootBot的使用表明了一种战术转变,即在Gootloader感染后将植入物作为有效载荷下载,而不是使用后开发框架(如CobaltStrike)。
被描述为一个混淆的PowerShell脚本,GootBot被设计用来连接到一个被破坏的WordPress站点,以便进行命令和控制,并接收进一步的命令。
更复杂的问题是使用一个唯一的硬编码的C2服务器为每个存储的GootBot样本,使其难以阻止恶意流量。
“目前观察到的活动利用搜索引擎优化中毒的搜索为主题,如合同,法律形式,或其他业务相关的文件,引导受害者到妥协的网站设计看起来像合法的论坛,他们被诱骗到下载初始有效载荷作为存档文件,”研究人员说。
该存档文件包含一个模糊处理的JavaScript文件,该文件在执行时获取另一个JavaScript文件,通过调度任务触发该文件以实现持久性。
END
阅读推荐
【安全圈】公司网页居然变成“网络博彩”内容?被闲置的网页一定要注意
【安全圈】Linux 出现新漏洞,正被Kinsing Actor 利用入侵云环境
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】新的GootLoader恶意软件变种出现!可逃避检测和迅速蔓延
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论