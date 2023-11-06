IBM X-Force menemukan varian baru Gootloader — implan “GootBot” — yang memfasilitasi gerakan lateral tersembunyi dan mempersulit deteksi dan pemblokiran operasi Gootloader dalam lingkungan perusahaan. X-Force mengamati operasi ini memanfaatkan peracunan SEO, bertaruh pada aktivitas pencarian korban yang tidak curiga, yang kami analisis lebih lanjut di blog. Peluncuran bot kustom mereka sendiri oleh grup Gootloader ke tahap akhir rantai serangan mereka adalah upaya untuk menghindari deteksi saat menggunakan alat siap pakai untuk C2 seperti CobaltStrike atau RDP. Varian baru ini adalah malware ringan namun efektif yang memungkinkan penyerang menyebar dengan cepat ke seluruh jaringan dan menyebarkan muatan lebih lanjut.

Sebelumnya, Gootloader hanya diamati sebagai malware akses awal, di mana penyerang setelahnya akan memuat alat seperti CobaltStrike atau menggunakan RDP untuk menyebar dalam jaringan. Operasi yang memanfaatkan GootBot untuk gerakan lateral merupakan perubahan signifikan dalam TTP pascainfeksi, karena alat khusus ini memungkinkan aktor ancaman untuk tetap berada di bawah radar untuk jangka waktu yang lebih lama. GootBot diunduh sebagai muatan setelah infeksi Gootloader dan memiliki kemampuan untuk menerima tugas C2 dalam bentuk skrip PowerShell terenkripsi, yang dijalankan sebagai pekerjaan. Tidak seperti Gootloader, GootBot adalah skrip PS samar yang ringan dan hanya berisi satu server C2. Implan GootBot, yang masing-masing berisi server C2 berbeda yang berjalan di situs WordPress yang diretas, menyebar ke seluruh domain perusahaan yang terinfeksi dalam jumlah besar dan berharap mencapai pengontrol domain. Pada saat penulisan, GootBot tidak memiliki deteksi yang tercantum di VirusTotal. Pergeseran dalam TTP dan alat ini meningkatkan risiko tahap pascaeksploitasi yang berhasil, seperti aktivitas afiliasi ransomware terkait Gootloader.