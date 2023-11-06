IBM X-Force a découvert une nouvelle variante de Gootloader, l’implant « GootBot », qui facilite les mouvements latéraux furtifs et rend plus difficile la détection et le blocage des campagnes Gootloader dans les environnements d’entreprise. X-Force a observé que ces campagnes exploitaient le référencement abusif, misant sur les recherches de victimes peu méfiantes. Nous analysons cela plus en détail dans cet article de blog. L’introduction par le groupe Gootloader de son propre bot personnalisé dans les dernières étapes de sa chaîne d’attaque vise à éviter toute détection lors de l’utilisation d’outils C2 prêts à l’emploi tels que CobaltStrike ou RDP. Cette nouvelle variante est un logiciel malveillant léger mais efficace qui permet aux attaquants de s’étendre rapidement à travers le réseau et de déployer d’autres charges utiles.

Auparavant, Gootloader semblait n’être qu’un logiciel malveillant d’accès initial, à la suite duquel les attaquants chargeaient des outils tels que CobaltStrike ou utilisaient RDP pour s’étendre au sein du réseau. Les campagnes utilisant GootBot pour se déplacer latéralement constituent un changement significatif dans les TTP post-infection, car cet outil personnalisé permet aux acteurs de la menace de rester indétectables pendant plus longtemps. GootBot est téléchargé sous forme de charge utile après une infection par Gootloader et a la capacité de recevoir des tâches C2 sous la forme de scripts PowerShell chiffrés, qui sont exécutés comme des tâches. Contrairement à Gootloader, GootBot est un script PS léger et obscurci, qui ne contient qu’un seul serveur C2. Les implants GootBot, qui contiennent chacun un serveur C2 différent fonctionnant sur un site WordPress piraté, se propagent en grand nombre au sein des domaines d’entreprise infectés dans l’espoir d’atteindre un contrôleur de domaine. Au moment de la rédaction de cet article, GootBot n’a fait l’objet d’aucune détection sur VirusTotal. Cette évolution des TTP et des outils augmente le risque de réussite des étapes post-exploitation, telles que les activités des affiliés de ransomware liés à Gootloader.