GootLoader仍然是活跃和高效的

研究人员警告说，恶意软件GootLoader仍然活跃，威胁行为者仍然在他们的活动中使用它。

网络原因研究人员警告说，威胁行为者继续在他们的活动中使用GootLoader恶意软件。该恶意软件已经进化出了几个版本，目前正在使用的是GootLoader 3。尽管对有效载荷进行了更新，但自2020年恶意软件死灰复燃以来，感染策略和整体功能基本保持一致。

GootLoader运行在一个访问即服务的模型上，它被不同的组织用来在被感染的系统上添加额外的恶意有效负载。众所周知，GootLoader使用无文件技术来传播SunCrypt、REvil (Sodinokibi)勒索软件、Kronos木马和Cobalt Strike等威胁。过去，GootLoader伪装成免费软件安装程序分发恶意软件，并使用法律文件诱骗用户下载这些文件。

GootLoader是GootKit恶意软件家族的一部分，自2014年以来一直活跃。Mandiant追踪到GootKit背后的攻击者为UNC2565。

攻击链从用户在搜索引擎中搜索特定信息开始。攻击者使用黑色SEO技术在搜索结果中显示被GootLoader运营商入侵的网站。

在访问该网站时，受害者会注意到它是一个在线论坛，直接回答他的查询。该论坛托管了一个包含恶意.js文件的ZIP归档文件，该文件用于在受感染系统的内存中建立持久性并删除Cobalt Strike二进制文件。

研究人员报告说，第一阶段的GootLoader有效载荷很大，并且严重混淆，通常超过3.5MB。恶意代码通过Windows脚本主机进程(wscript)执行，在磁盘上放置第二阶段的有效载荷，这也是一个混淆的JavaScript文件。然后，第一级有效载荷注册一个计划任务来运行第二级有效载荷，第二级有效载荷在第一级结束后立即执行。

第二阶段从脚本开始执行，然后转向cscript进程。cscript实例生成PowerShell，它去混淆并执行一个脚本，该脚本开始发现活动并与C2服务器通信。

阶段3是最后的有效载荷，它是一个PowerShell脚本，执行发现/侦察活动，并与C2通信以下载目标恶意软件。

根据不同的版本，Stage 3的PowerShell的用法可能会有所不同。报告总结道。“GootLoader 1.0和2.0都利用PowerShell来反射加载和执行基于。net的DLL恶意软件，作为后开发的一部分。然而，GootLoader 3.0利用PowerShell进行发现工作和后门命令执行的C2通信，执行的命令负责开发后的活动，如下载额外的恶意软件。”

原文始发于微信公众号（HackSee）：GootLoader仍然是活跃和高效的