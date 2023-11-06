IBM X-Force 发现了 Gootloader 的新变体——“GootBot”植入程序，它能实现隐蔽的水平运动，增大企业环境中检测和阻止 Gootloader 攻击活动的难度。X-Force 观察到这些攻击活动利用 SEO 投毒技术，针对毫无戒备的受害者搜索行为实施攻击，我们将在博客中对此进行更深入的分析。Gootloader 组织在攻击链的后期阶段引入了自定义机器人，目的是在使用 CobaltStrike 或 RDP 等现成 C2 工具时避免被检测到。这种新变体虽为轻量级但却威力十足，能让攻击者快速扩散至整个网络并部署更多有效载荷。

此前，Gootloader 仅被视为初始访问恶意软件，攻击者随后需要加载 CobaltStrike 等工具或使用 RDP 才能在网络内传播。利用 GootBot 进行水平运动的攻击活动标志着感染后计策、技术与程序 (TTP) 的重大变化，因为这一定制工具使威胁参与者能够更长时间保持隐蔽。GootBot 在 Gootloader 感染后作为有效载荷被下载，能够接收加密 PowerShell 脚本形式的 C2 任务的功能，这些脚本随后会作为任务运行。与 Gootloader 不同，GootBot 是轻量级混淆 PS 脚本，仅包含单个 C2 服务器。GootBot 植入程序（每个 GootBot 植入程序内含一个在被黑 WordPress 站点上运行的不同 C2 服务器）会在受感染企业域内大规模扩散，试图触达域控制器。截至本文撰写时，GootBot 在 VirusTotal 上没有任何检测记录。TTP 和工具的转变显著提升了攻击后利用阶段（例如与 Gootloader 关联的勒索软件附属活动）的成功风险。