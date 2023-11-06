IBM X-Force hat eine neue Variante von Gootloader entdeckt – das „GootBot“-Implantat –, das eine heimliche laterale Bewegung ermöglicht und die Erkennung und Blockierung von Gootloader-Kampagnen in Unternehmensumgebungen erschwert. X-Force hat diese Kampagnen beobachtet, die sich SEO-Poisoning zunutze machen und auf die Suchaktivitäten ahnungsloser Opfer setzen. Wir analysieren dies im Blog näher. Die Einführung eines eigenen benutzerdefinierten Bots in die späten Phasen ihrer Angriffskette durch die Gootloader-Gruppe stellt einen Versuch dar, bei der Verwendung von handelsüblichen Tools für C2 wie CobaltStrike oder RDP eine Erkennung zu vermeiden. Diese neue Variante ist eine leichtgewichtige, aber effektive Malware, die es Angreifern ermöglicht, sich schnell im Netzwerk zu verbreiten und weitere Payloads einzusetzen.

Bisher wurde Gootloader ausschließlich als Malware für den ersten Zugriff beobachtet, woraufhin Angreifer Tools wie CobaltStrike laden oder RDP verwenden würden, um sich innerhalb des Netzwerks zu verbreiten. Kampagnen, die GootBot für laterale Bewegungen nutzen, stellen eine wesentliche Veränderung der TTPs nach einer Infektion dar, da dieses maßgeschneiderte Tool es Angreifern ermöglicht, über einen längeren Zeitraum unentdeckt zu bleiben. GootBot wird nach einer Gootloader-Infektion als Payload heruntergeladen und ist in der Lage, C2-Aufgaben in Form von verschlüsselten PowerShell-Skripten zu empfangen, die als Jobs ausgeführt werden. Im Gegensatz zu Gootloader ist GootBot ein leichtgewichtiges, verschleiertes PS-Skript, das nur einen einzigen C2-Server enthält. GootBot-Implantate, von denen jedes einen anderen C2-Server enthält, der auf einer gehackten WordPress-Website läuft, verbreiten sich in großer Zahl in infizierten Unternehmensdomänen, in der Hoffnung, einen Domänencontroller zu erreichen. Zum Zeitpunkt der Erstellung dieses Artikels sind bei VirusTotal keine Erkennungen für GootBot verzeichnet. Dieser Wandel bei TTPs und Tools erhöht das Risiko erfolgreicher Post-Ausbeutungsphasen, wie etwa Gootloader-verknüpfte Ransomware-Affiliate-Aktivitäten.