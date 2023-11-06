IBM X-Force ha scoperto una nuova variante di Gootloader, l'impianto "GootBot", che facilita il movimento laterale furtivo e rende più difficile il rilevamento e il blocco delle campagne Gootloader negli ambienti aziendali. X-Force ha osservato queste campagne che utilizzano l'avvelenamento SEO, scommettendo sull'attività di ricerca delle vittime ignare, che analizziamo ulteriormente nel blog. L'introduzione da parte del gruppo Gootloader di un proprio bot personalizzato nelle fasi finali della catena di attacco è un tentativo di evitare rilevamenti nell'uso di strumenti standard per C2 come CobaltStrike o RDP. Questa nuova variante è un malware leggero ma efficace che permette agli attaccanti di diffondersi rapidamente nella rete e di implementare ulteriori payload.

In precedenza, Gootloader veniva osservato solo come un malware di accesso iniziale, dopo di che gli attaccanti caricavano strumenti come CobaltStrike o usavano RDP per diffondersi all'interno della rete. Le campagne che sfruttano GootBot per il movimento laterale costituiscono un cambiamento significativo nelle TTP post-infezione, poiché questo strumento personalizzato consente agli attori delle minacce di rimanere sotto il radar per un periodo di tempo più lungo. GootBot viene scaricato come payload dopo un'infezione da Gootloader e ha le funzionalità per ricevere compiti C2 sotto forma di script PowerShell criptati, che vengono eseguiti come job. A differenza di Gootloader, GootBot è uno script PS leggero e offuscato, che contiene un solo server C2. Gli impianti GootBot, ognuno dei quali contiene un diverso server C2 che gira su un sito WordPress hackerato, si diffondono in gran numero tra i domini aziendali infetti nella speranza di raggiungere un controller di dominio. Al momento in cui scriviamo, GootBot non ha rilevamenti elencati su VirusTotal. Questo cambiamento nei TTP e negli strumenti aumenta il rischio di fasi di post-sfruttamento di successo, come l'attività ransomware affiliata collegata a Gootloader.