IBM X-Force menemukan varian baru Gootloader — implan “GootBot” — yang memfasilitasi gerakan lateral tersembunyi dan mempersulit deteksi dan pemblokiran operasi Gootloader dalam lingkungan perusahaan. X-Force mengamati operasi ini memanfaatkan peracunan SEO, bertaruh pada aktivitas pencarian korban yang tidak curiga, yang kami analisis lebih lanjut di blog. Peluncuran bot kustom mereka sendiri oleh grup Gootloader ke tahap akhir rantai serangan mereka adalah upaya untuk menghindari deteksi saat menggunakan alat siap pakai untuk C2 seperti CobaltStrike atau RDP. Varian baru ini adalah malware ringan namun efektif yang memungkinkan penyerang menyebar dengan cepat ke seluruh jaringan dan menyebarkan muatan lebih lanjut.
Sebelumnya, Gootloader hanya diamati sebagai malware akses awal, di mana penyerang setelahnya akan memuat alat seperti CobaltStrike atau menggunakan RDP untuk menyebar dalam jaringan. Operasi yang memanfaatkan GootBot untuk gerakan lateral merupakan perubahan signifikan dalam TTP pascainfeksi, karena alat khusus ini memungkinkan aktor ancaman untuk tetap berada di bawah radar untuk jangka waktu yang lebih lama. GootBot diunduh sebagai muatan setelah infeksi Gootloader dan memiliki kemampuan untuk menerima tugas C2 dalam bentuk skrip PowerShell terenkripsi, yang dijalankan sebagai pekerjaan. Tidak seperti Gootloader, GootBot adalah skrip PS samar yang ringan dan hanya berisi satu server C2. Implan GootBot, yang masing-masing berisi server C2 berbeda yang berjalan di situs WordPress yang diretas, menyebar ke seluruh domain perusahaan yang terinfeksi dalam jumlah besar dan berharap mencapai pengontrol domain. Pada saat penulisan, GootBot tidak memiliki deteksi yang tercantum di VirusTotal. Pergeseran dalam TTP dan alat ini meningkatkan risiko tahap pascaeksploitasi yang berhasil, seperti aktivitas afiliasi ransomware terkait Gootloader.
Buletin industri
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Grup Gootloader, yang dilacak X-Force sebagai Hive0127 (alias UNC2565), telah aktif sejak 2014 dan mengandalkan kombinasi peracunan SEO dan situs WordPress yang disusupi untuk mengirimkan Gootloader. Infeksi Gootloader menyediakan akses awal untuk pelaku ancaman lainnya, termasuk afiliasi ransomware, dan serangan telah menyebabkan muatan lanjutan seperti IcedID, Cobalt Strike, dan SystemBC.
X-Force mengamati kelompok yang memanfaatkan peracunan SEO sebagai bagian dari operasi jahatnya, yang merupakan metode yang digunakan pelaku ancaman untuk memanipulasi hasil mesin pencari untuk mengarahkan pengguna ke situs web yang disusupi berdasarkan gagasan bahwa hasil pertama mesin pencari kemungkinan akurat, aman, dan sah. Hive0127 biasanya menargetkan pencarian online untuk kontrak, formulir hukum, atau dokumen terkait bisnis lainnya; misalnya: “Apakah pernyataan penutupan sama dengan kontrak besar?”. Target dilayani situs web yang disusupi yang dimodifikasi untuk muncul sebagai forum yang sah di bagian atas halaman hasil mesin pencari yang diracuni. Dalam percakapan forum, target kemudian dikelabui untuk mengunduh file arsip yang terkait dengan istilah pencarian awal mereka, tetapi yang sebenarnya berisi Gootloader.
Grafik berikut adalah contoh bagaimana Gootloader dapat menggunakan GootBot untuk menyebar ke seluruh jaringan. Bagian analisis di bawah ini memerinci berbagai tahap infeksi:
Infeksi gootloader dimulai dengan pengguna mengunduh arsip yang terinfeksi, berisi file JavaScript yang dikaburkan secara signifikan, yang merupakan tahap pertama Gootloader. Setelah eksekusi, infeksi menulis file JavaScript lain di subfolder yang dipilih di bawah folder %APPDATA% dengan nama file bahasa Inggris yang tidak mencolok. Gootloader tidak membuat folder baru di %APPDATA%, tetapi memilih folder yang sudah ada. Pilihan ini tidak acak tetapi dihitung berdasarkan jumlah subfolder yang ditemukan di folder %APPDATA%. Perhitungannya adalah sebagai berikut:
722 – (Bulatkan ke bawah (722 / number_of_subfolders) * number_of_subfolders)
Alih-alih menjalankan tahap kedua secara langsung, Gootloader memicu tugas terjadwal untuk menjalankan JavaScript serta membuatnya persisten.
Tugas yang dijadwalkan memiliki parameter berikut:
Nama: <Random English words>
Tindakan: wscript <nama file pendek tahap ke-2 yang diakhiri dengan “~1.JS”>
Folder: [Subfolder di %APPDATA%]
Pemicu: LogonTriggerId [Pada log on berikutnya dari pengguna saat ini]
Setelah JavaScript tahap kedua dijalankan, skrip PowerShell dan tahap ketiga akan dijalankan, yang mengumpulkan informasi sistem dan mengunggahnya ke salah satu dari 10 server C2 yang tertanam dalam kode. Gootloader menggunakan situs WordPress yang diretas untuk menjalankan server C2 mereka, yang mengarah ke jalur URL C2 yang diakhiri dengan “/xmlrpc.php”.
Di bawah ini adalah contoh permintaan HTTP dari malware.
Agen Pengguna konsisten, demikian pula dugaan ID malware, 3B47772CE3.
Malware mengharapkan C2 untuk merespons dengan data yang berisi skrip PowerShell yang dieksekusi Gootloader.
Skrip PowerShell tahap ketiga berjalan dalam siklus tidak berakhir yang memberi pelaku kemampuan untuk membuat C2 merespons dengan berbagai muatan PowerShell.
Salah satu muatan yang diamati X-Force adalah GootBot, varian baru dari Gootloader. Varian ini memiliki fitur yang sangat mirip tetapi berupa skrip PowerShell ringan. Berbeda dengan skrip PowerShell tahap 3, GootBot hanya berisi satu alamat server C2.
String GootBot sedikit dikaburkan melalui kunci pengganti, seperti yang terlihat pada tangkapan layar di bawah ini:
Mirip dengan Gootloader, bot memulai dengan mengirim permintaan GET ke server C2, meminta tugas PowerShell. Beacon pertama memiliki header HTTP berikut yang ditambahkan oleh malware:
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<Jika pengguna adalah admin: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Kedaluwarsa: 0
Sebagai tanggapan, GootBot mengharapkan string yang terdiri dari muatan yang dikodekan Base64 dan 8 karakter terakhir menjadi nama tugas. Kemudian GootBot akan mengurai kode muatan dan menyuntikkannya ke blok skrip sederhana sebelum menjalankannya di pekerjaan latar belakang baru menggunakan Cmdlet “Start-Job”. Hal ini memungkinkan muatan PowerShell dijalankan secara asinkron dan tanpa membuat proses turunan, yang berpotensi menghasilkan deteksi EDR yang lebih sedikit.
Tangkapan layar berikut menunjukkan kode tanpa pengaburan yang menjalankan tugas C2.
Secara default, GootBot mengeluarkan sinyal setiap 60 detik, namun ini dapat diubah dengan mengatur string tertentu yang berisi “asz” ke atribut informasi pekerjaan turunan. Hal yang sama berlaku untuk jalur direktori kerja, yang dapat diubah dengan string sinyal “asx”.
Setelah bot menerima tugas dari C2, iterasi putaran berikutnya akan dimulai dengan menanyakan hasil tugas, untuk setiap turunan pekerjaan yang diminta oleh server C2. Jika pekerjaan telah selesai, bot akan menampilkan hasil pekerjaan. Jika belum selesai, bot akan mengirim string “E1" atau “E2" jika pekerjaan tidak dapat ditemukan. Hasil pekerjaan kemudian ditautkan untuk semua tugas yang diminta menggunakan format berikut:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
String yang dihasilkan Base64 yang dikodekan dan dikaburkan melalui algoritma berbasis modul yang mirip dengan teknik yang diamati dalam sampel JavaScript Gootloader sebelumnya.
Kali ini, GootBot mengirimkan permintaan POST ke server C2 miliknya. Jika berukuran lebih besar dari 100.000 karakter, data dibagi menjadi beberapa permintaan dan diformat sebagai berikut:
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<Jika pengguna adalah admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Kedaluwarsa: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
Sekali lagi, bot mengharapkan respons yang berisi tugas berikutnya.
GootBot juga dirancang untuk disebarkan secara lateral ke seluruh lingkungan. Setelah host awal terinfeksi, GootBot menerima sejumlah skrip yang menyebutkan host serta domain. X-Force juga mengamati beberapa skrip menggunakan teknik berbeda untuk menyebarkan muatan GootBot yang tertanam ke host lain. Infrastruktur C2 GootBot dapat dengan cepat menghasilkan sejumlah besar muatan GootBot untuk disebarluaskan, masing-masing akan menghubungi alamat C2 yang berbeda. Mereka digunakan oleh skrip gerakan lateral secara otomatis, yang juga dapat menyebabkan host terinfeksi ulang berkali-kali.
Skrip gerakan lateral menggunakan WinRM di PowerShell, baik melalui WMI atau Cmdlet “Invoke-Command”. Contoh lain termasuk menyalin muatan melalui SMB dan penggunaan panggilan WinAPI ke SCM (Service Control Manager) untuk membuat layanan jarak jauh dan tugas terjadwal.
Dalam beberapa kasus, GootBot juga menggunakan kredensial yang dieksfiltrasi untuk menyebarkan:
Gambar: Gerakan lateral melalui WinRM Invoke-Command
Gambar: Gerakan lateral melalui SCM
GootBot juga telah terbukti menggunakan variabel lingkungan untuk menyimpan string terenkripsi, yang selanjutnya mengurangi ukuran skrip. Selain itu, GootBot juga dapat diterapkan menggunakan teknik untuk memalsukan argumen proses PowerShell dengan membuat proses baru sebelum menulis skrip berbahaya ke input standar proses.
GootBot juga menjalankan skrip pengintaian sebagai salah satu tugas pertamanya. Ini berisi ID GootBot unik untuk host.
Informasi berikut disatukan dan ditampilkan ke pengendali pekerjaan:
Data diformat dengan ID yang ditentukan. Lihat contoh data di bawah ini dengan ID “FDA8970BA3”:
Infeksi Gootloader dapat dengan cepat menyebabkan penerapan alat tambahan seperti Cobalt Strike, SystemBC, dan skrip penyusupan domain termasuk serangan Kerberoasting. Perilaku lain yang diamati adalah eksfiltrasi informasi sensitif berikut:
Selain itu, infeksi Gootloader juga diketahui mengakibatkan ransomware.
Penemuan varian Gootbot menyoroti sejauh mana penyerang akan berupaya menghindari deteksi dan beroperasi secara diam-diam. Ini adalah malware sangat efektif yang memungkinkan penyerang bergerak secara lateral melintasi lingkungan dengan mudah dan cepat, serta memperluas serangan mereka. Selain itu, penggunaan klaster besar domain WordPress yang disusupi Hive 0127 semakin menyulitkan pembela untuk memblokir lalu lintas berbahaya. Karena Gootloader sering berfungsi sebagai penyedia akses awal, kesadaran akan TTP dan alat yang berkembang ini penting untuk mengurangi risiko aktivitas pascaeksploitasi yang berdampak.
Untuk informasi lebih lanjut tentang riset keamanan X-Force, intelijen ancaman, dan insight yang dipimpin peretas, kunjungi X-Force Research Hub.
Indikator
Jenis Indikator
Konteks
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
Server C2 GootBot
http://63factory[.]jp/wordpress/
URL
Server C2 GootBot
Pahami ancaman terbaru dan perkuat pertahanan cloud Anda dengan Laporan lingkungan Ancaman X-Force Cloud.
Pelajari cara mengelola tantangan dan memanfaatkan ketahanan AI generatif dalam keamanan siber.
Lindungi organisasi Anda dari ancaman global dengan tim peretas, perespons, peneliti, dan analis IBM X-Force yang berfokus pada ancaman.
Gunakan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.
Lindungi lingkungan seluler Anda dengan solusi pertahanan ancaman seluler IBM MaaS360 yang komprehensif.
Dapatkan solusi manajemen ancaman yang komprehensif, yang secara ahli melindungi bisnis Anda dari serangan siber.