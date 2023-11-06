IBM® X-Force descubrió una nueva variante de Gootloader, el implante "GootBot", que facilita el movimiento lateral sigiloso y dificulta la detección y el bloqueo de las campañas de Gootloader en entornos empresariales. X-Force descubrió que estas campañas aprovechaban el envenenamiento del SEO, apostando por la actividad de búsqueda de víctimas desprevenidas, que analizamos más a fondo en el blog. La introducción por parte del grupo Gootloader de su propio bot personalizado en las últimas etapas de su cadena de ataque es un intento de evitar las detecciones al utilizar herramientas estándar para C2 como CobaltStrike o RDP. Esta nueva variante es un malware ligero pero eficaz que permite a los atacantes expandirse rápidamente por la red e implementar más cargas útiles.
Antes, Gootloader solo se observaba como un malware de acceso inicial, después del cual los atacantes cargaban herramientas como CobaltStrike o usaban RDP para propagarse dentro de la red. Las campañas que aprovechan GootBot para el movimiento lateral constituyen un cambio significativo en los TTP posteriores a la infección, ya que esta herramienta personalizada permite a los actores de amenazas permanecer bajo el radar durante un período más largo. GootBot se descarga como carga útil tras una infección de Gootloader y tiene la capacidad de recibir tareas C2 en forma de scripts cifrados de PowerShell, que se ejecutan como trabajos. A diferencia de Gootloader, GootBot es un script PS ligero y ofuscado, que contiene un único servidor C2. Los implantes de GootBot, cada uno de los cuales contiene un servidor C2 diferente que se ejecuta en un sitio de WordPress hackeado, se propagan en grandes cantidades por los dominios empresariales infectados con la esperanza de llegar a un controlador de dominio. En el momento de escribir esto, GootBot no tiene detecciones enumeradas en VirusTotal. Este cambio en las TTP y las herramientas aumenta el riesgo de éxito en las etapas posteriores a la explotación, como la actividad de afiliados de ransomware vinculada a Gootloader.
El grupo Gootloader, que X-Force rastrea como Hive0127 (también conocido como UNC2565), está activo desde 2014 y se basa en una combinación de envenenamiento SEO y sitios WordPress comprometidos para entregar Gootloader. Las infecciones de Gootloader proporcionan acceso inicial a otros actores de amenazas, incluyendo afiliados al ransomware, y los ataques han dado lugar a cargas útiles de seguimiento como IcedID, Cobalt Strike y SystemBC.
X-Force observó que el grupo aprovechaba el envenenamiento SEO como parte de sus campañas maliciosas, que es un método que los actores de amenazas utilizan para manipular los resultados de los motores de búsqueda con el fin de conducir a los usuarios a sitios web comprometidos basándose en la idea de que los primeros resultados de un motor de búsqueda son probablemente precisos, seguros y legítimos. Hive0127 suele dirigirse a búsquedas en línea de contratos, formularios legales u otros documentos relacionados con la empresa; por ejemplo: "¿Es lo mismo una declaración de clausura que un gran contrato?". Los objetivos reciben un sitio web comprometido modificado para que aparezca como un foro legítimo en la parte superior de la página de resultados del motor de búsqueda envenenado. Dentro de la conversación del foro, se engaña a los objetivos para que descarguen un archivo relacionado con sus términos de búsqueda iniciales, pero que en realidad contiene Gootloader.
El siguiente gráfico es un ejemplo de cómo Gootloader puede emplear GootBot para propagarse por una red. Las siguientes secciones de análisis detallan las diferentes etapas de la infección:
Las infecciones de Gootloader comienzan cuando un usuario descarga un archivo infectado, que contiene un archivo JavaScript significativamente ofuscado, que es la primera etapa de Gootloader. Tras la ejecución, suelta otro archivo JavaScript en una subcarpeta seleccionada de la carpeta %APPDATA% con un nombre de archivo en inglés discreto. Gootloader no crea una nueva carpeta en %APPDATA%, sino que selecciona una que ya existe. Esta selección no es aleatoria, sino que se calcula en función del número de subcarpetas que se encuentran en la carpeta %APPDATA%. Se calcula de la siguiente manera:
722 – (Redondear hacia abajo (722 / número_de_subcarpetas) * número_de_subcarpetas)
En lugar de ejecutar la segunda etapa directamente, Gootloader activa una tarea programada para ejecutar el JavaScript y hacerlo persistente.
La tarea programada tiene los siguientes parámetros:
Nombre: <Palabras aleatorias inglesas>
Acción: wscript <nombre de archivo corto de la segunda etapa que termina en “~1.JS”>
Carpeta: [Subcarpeta en %APPDATA%]
Desencadenante: LogonTriggerID [En el siguiente inicio de sesión del usuario actual]
Una vez que se ejecuta el JavaScript de segunda etapa, ejecuta un script de PowerShell y la tercera etapa, que recopila información del sistema y la carga en cualquiera de sus diez servidores C2 codificados. Gootloader utiliza sitios de WordPress pirateados para ejecutar sus servidores C2, lo que lleva a rutas URL C2 que terminan en "/xmlrpc.php".
A continuación se muestra un ejemplo de una petición HTTP del malware.
El agente de usuario es coherente, así como el presunto ID de malware, 3B47772CE3.
El malware espera que el C2 responda con datos que contienen un script de PowerShell que ejecuta Gootloader.
El script de PowerShell de tercera etapa se ejecuta en un bucle sin fin, lo que le da al actor la capacidad de hacer que el C2 responda con diferentes cargas útiles de PowerShell.
Una de las cargas útiles observadas por X-Force es GootBot, una nueva variante de Gootloader. Cuenta con capacidades muy similares pero viene en forma de un script PowerShell ligero. A diferencia del script PowerShell de la etapa 3, GootBot solo contiene una única dirección de servidor C2.
Las cadenas de GootBot se ofuscan un poco con una tecla de reemplazo, como se ve en la siguiente captura de pantalla:
Al igual que Gootloader, el bot comienza enviando una solicitud GET a su servidor C2, solicitando tareas de PowerShell. La primera baliza tiene los siguientes encabezados HTTP añadidos por el malware:
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
Como respuesta, GootBot espera una cadena que consiste en una carga útil codificada en Base64, y los últimos ocho caracteres son el nombre de la tarea. A continuación, decodifica la carga útil y la inyecta en un bloque de script simple antes de ejecutarla en un nuevo trabajo en segundo plano utilizando el cmdlet "Start-Job". Esto permite que la carga útil de PowerShell se ejecute de forma asíncrona y sin crear un proceso secundario, lo que puede dar lugar a menos detecciones de EDR (detección y respuesta de endpoints).
La siguiente captura de pantalla muestra el código desofuscado ejecutando la tarea C2.
De forma predeterminada, GootBot emite balizas cada 60 segundos; sin embargo, esto se puede cambiar estableciendo una cadena específica que contenga "asz" en el atributo de información de los trabajos secundarios. Lo mismo se aplica a la ruta del directorio de trabajo, que se puede cambiar con la cadena de señal “asx”.
Una vez que el bot recibe una tarea del C2, la siguiente iteración del bucle comenzará consultando el resultado de la tarea, para cada trabajo hijo solicitado por el servidor C2. Si el trabajo se ha completado, devolverá los resultados del trabajo. Si aún no se ha completado, enviará la cadena “E1”, o la cadena “E2” si no se puede encontrar el trabajo. A continuación, se concatenan los resultados del trabajo para todas las tareas solicitadas utilizando el siguiente formato:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
La cadena resultante se codifica en Base64 y se ofusca mediante un algoritmo basado en módulos, similar a una técnica observada en muestras anteriores de JavaScript de Gootloader.
Esta vez, GootBot envía una solicitud POST a su servidor C2. Si los datos superan los 100 000 caracteres, se dividen en múltiples solicitudes, con el siguiente formato:
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
De nuevo, el bot espera una respuesta que contenga la siguiente tarea.
GootBot también se diseñó para distribuirse lateralmente por todo el entorno. Una vez infectado un host inicial, GootBot recibe una serie de scripts que enumeran tanto el host como el dominio. X-Force también observó varios scripts que utilizaban diferentes técnicas para difundir la carga útil incrustada de GootBot a otros hosts. La infraestructura C2 de GootBots puede generar rápidamente un gran número de cargas útiles de GootBot para su difusión, cada una con una dirección C2 diferente con la que contactar. Estos se implementan mediante scripts de movimiento lateral de forma automatizada, lo que también puede provocar que los hosts se vuelvan a infectar varias veces.
Los scripts de movimiento lateral utilizan WinRM en PowerShell, ya sea a través de WMI o del cmdlet "Invoke-Command". Otros ejemplos incluyen la copia de cargas útiles a través de SMB y el uso de llamadas WinAPI a SCM (Service Control Manager) para crear servicios remotos y tareas programadas.
En algunos casos, GootBot también utiliza credenciales exfiltradas para difundir:
Figura: Movimiento lateral vía WinRM Invoke-Command
Figura: Movimiento lateral vía SCM
También se ha demostrado que GootBot utiliza variables de entorno para almacenar cadenas cifradas, lo que reduce aún más el tamaño de los scripts. Además, GootBot también puede implementarse utilizando una técnica para falsificar los argumentos de los procesos de PowerShell creando un nuevo proceso antes de escribir el script malicioso en la entrada estándar de los procesos.
GootBot también ejecuta un script de reconocimiento como una de sus primeras tareas. Contiene el ID único de GootBot para el host.
La siguiente información se recopila y se devuelve al responsable del trabajo:
Los datos están formateados con el ID especificado. Vea los datos de ejemplo a continuación con ID "FDA8970BA3":
Una infección de Gootloader puede provocar rápidamente la implementación de herramientas adicionales como Cobalt Strike, SystemBC y scripts de compromiso de dominio, incluidos los ataques de kerberoasting. Otro comportamiento observado es la exfiltración de la siguiente información sensible:
Además, se sabe que las infecciones por Gootloader también pueden provocar ransomware.
El descubrimiento de la variante Gootbot pone de relieve los extremos a los que llegarán los atacantes para evadir la detección y operar sigilosamente. Se trata de un malware altamente eficaz que permite a los atacantes moverse lateralmente por el entorno con facilidad y rapidez y extender sus ataques con facilidad. Además, el uso de Hive 0127 de grandes clústeres de dominios de WordPress comprometidos hace que sea cada vez más difícil para los defensores bloquear el tráfico malicioso. Dado que Gootloader sirve con frecuencia como proveedor de acceso inicial, la conciencia de estas TTP y herramientas en evolución es importante para mitigar el riesgo de una actividad impactante posterior a la explotación.
Indicador
Tipo de indicador
Contexto
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
Servidor GootBot C2
http://63factory[.]jp/wordpress/
URL
Servidor GootBot C2
