IBM X-Force ha scoperto una nuova variante di Gootloader, l'impianto "GootBot", che facilita il movimento laterale furtivo e rende più difficile il rilevamento e il blocco delle campagne Gootloader negli ambienti aziendali. X-Force ha osservato queste campagne che utilizzano l'avvelenamento SEO, scommettendo sull'attività di ricerca delle vittime ignare, che analizziamo ulteriormente nel blog. L'introduzione da parte del gruppo Gootloader di un proprio bot personalizzato nelle fasi finali della catena di attacco è un tentativo di evitare rilevamenti nell'uso di strumenti standard per C2 come CobaltStrike o RDP. Questa nuova variante è un malware leggero ma efficace che permette agli attaccanti di diffondersi rapidamente nella rete e di implementare ulteriori payload.
In precedenza, Gootloader veniva osservato solo come un malware di accesso iniziale, dopo di che gli attaccanti caricavano strumenti come CobaltStrike o usavano RDP per diffondersi all'interno della rete. Le campagne che sfruttano GootBot per il movimento laterale costituiscono un cambiamento significativo nelle TTP post-infezione, poiché questo strumento personalizzato consente agli attori delle minacce di rimanere sotto il radar per un periodo di tempo più lungo. GootBot viene scaricato come payload dopo un'infezione da Gootloader e ha le funzionalità per ricevere compiti C2 sotto forma di script PowerShell criptati, che vengono eseguiti come job. A differenza di Gootloader, GootBot è uno script PS leggero e offuscato, che contiene un solo server C2. Gli impianti GootBot, ognuno dei quali contiene un diverso server C2 che gira su un sito WordPress hackerato, si diffondono in gran numero tra i domini aziendali infetti nella speranza di raggiungere un controller di dominio. Al momento in cui scriviamo, GootBot non ha rilevamenti elencati su VirusTotal. Questo cambiamento nei TTP e negli strumenti aumenta il rischio di fasi di post-sfruttamento di successo, come l'attività ransomware affiliata collegata a Gootloader.
Il gruppo Gootloader, che X-Force traccia come Hive0127 (alias UNC2565), è attivo dal 2014 e si basa su una combinazione di avvelenamento SEO e siti WordPress compromessi per fornire Gootloader. Le infezioni da Gootloader forniscono accesso iniziale ad altri attori delle minacce, inclusi affiliati ransomware mentre gli attacchi hanno portato a payload successivi come IcedID, Cobalt Strike e SystemBC.
X-Force ha osservato che il gruppo utilizzava l'avvelenamento SEO come parte integrante delle sue campagne malevole, un metodo usato gli attori delle minacce per manipolare i risultati dei motori di ricerca al fine di indirizzare gli utenti verso siti compromessi basandosi sull'idea che i primi risultati di un motore di ricerca siano probabilmente accurati, sicuri e legittimi. Hive0127 in genere si concentra sulle ricerche online di contratti, moduli legali o altri documenti aziendali; ad esempio: "Una dichiarazione di chiusura è la stessa cosa di un contratto generale?". Agli obiettivi viene presentato un sito web compromesso, modificato in modo da apparire come un forum legittimo in cima alla pagina dei risultati del motore di ricerca infetto. All'interno della conversazione del forum, i target vengono poi ingannati a scaricare un file d'archivio relativo ai termini di ricerca iniziali, ma che in realtà contiene Gootloader.
Il grafico seguente è un esempio di come Gootloader possa impiegare GootBot per diffondersi in una rete. Le sezioni di analisi qui sotto illustrano le diverse fasi dell'infezione:
Le infezioni di Gootloader iniziano con il download da parte dell'utente di un archivio infetto, contenente un file JavaScript significativamente offuscato, che rappresenta la prima fase di Gootloader. All'esecuzione, viene inserito un altro file JavaScript in una sottocartella selezionata sotto la cartella %APPDATA% con un nome file in inglese poco appariscente. Gootloader non crea una nuova cartella in %APPDATA% ma ne seleziona una già esistente. Questa selezione non è casuale ma calcolata in base al numero di sottocartelle che si trovano nella cartella %APPDATA%. Si calcola come segue:
722 – (Arrotonda per difetto (722 / numero_di_sottocartelle) * numero_di_sottocartelle)
Invece di eseguire direttamente il secondo stadio, Gootloader attiva un compito programmato per eseguire JavaScript e renderlo persistente.
L'operazione pianificata ha i seguenti parametri:
Nome: <Random English words>
Azione: wscript <short file name of 2nd stage ending with “~1.JS”>
Cartella: [Sottocartella in %APPDATA%]
Trigger: LogonTriggerID [Al prossimo login dell'utente attuale]
Una volta eseguita la seconda fase di JavaScript, viene eseguito uno script PowerShell e la terza fase raccoglie le informazioni di sistema e le carica su uno qualsiasi dei suoi 10 server C2 codificati. Gootloader utilizza siti WordPress hackerati per far funzionare i propri server C2, generando percorsi URL C2 che terminano con "/xmlrpc.php".
Di seguito è riportato un esempio di richiesta HTTP dal malware.
L'User-Agent è coerente così come il presunto ID del malware, 3B47772CE3.
Il malware si aspetta che il C2 risponda con dati contenenti uno script PowerShell eseguito da Gootloader.
Lo script PowerShell del terzo stadio gira in un loop infinito che dà all'attore la possibilità di far rispondere il C2 con vari payload PowerShell.
Uno dei payload osservati da X-Force è GootBot, una nuova variante di Gootloader. Presenta caratteristiche molto simili ma si presenta sotto forma di uno script PowerShell leggero. A differenza dello script PowerShell di fase 3, GootBot contiene un solo indirizzo del server C2.
Le stringhe di GootBot sono leggermente offuscate tramite una chiave sostitutiva, come si vede nella schermata qui sotto:
Similmente a Gootloader, il bot inizia inviando una richiesta GET al server C2, richiedendo attività PowerShell. Il primo beacon presenta le seguenti intestazioni HTTP aggiunte dal malware:
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>
Pragma: no-cache
Controllo della cache: no-cache, no-store
Scade: 0
Come risposta, GootBot si aspetta una stringa composta da un payload codificato in Base64, con gli ultimi 8 caratteri che costituiscono il nome dell'attività. Quindi decodifica il payload e lo inietta in un semplice scriptblock prima di eseguirlo in un nuovo processo in background utilizzando il cmdlet "Start-Job". Questa azione permette di eseguire il payload PowerShell in modo asincrono senza creare un processo figlio, con un potenziale risultato di ridurre rilevamento e risposta degli endpoint (EDR).
La schermata seguente mostra il codice deoffuscato che esegue l'attività C2.
Per impostazione predefinita, GootBot invia un segnale ogni 60 secondi; tuttavia, è possibile modificare questa impostazione impostando una stringa specifica contenente "asz" nell'attributo informativo dei job figlio. Lo stesso vale per il percorso della directory di lavoro, che può essere modificato con la stringa di segnale "asx".
Una volta che il bot riceve un'attività dal C2, l'iterazione successiva del ciclo inizierà interrogando il risultato dell'attività, per ogni job figlio richiesto dal server C2. Se il lavoro è stato completato, verranno restituiti i risultati. Se non è ancora stato completato, invierà la stringa "E1" oppure la stringa "E2" se il job non può essere trovato. I risultati del job vengono quindi concatenati per tutte le attività richieste utilizzando il seguente formato:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
La stringa risultante è codificata in Base64 e offuscata tramite un algoritmo basato sul modulo, simile a una tecnica osservata in precedenti esempi JavaScript di Gootloader.
Questa volta, GootBot invia una richiesta POST al suo server C2. Se i dati sono maggiori di 100.000 caratteri, vengono suddivisi in più richieste, formattate come segue:
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Controllo della cache: no-cache, no-store
Scade: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
Ancora una volta, il bot si aspetta una risposta che contenga il compito successivo.
GootBot è stato progettato anche per essere distribuito lateralmente in tutto l'ambiente. Una volta che un host iniziale è stato infettato, GootBot riceve una serie di script che elencano sia l'host che il dominio. X-Force ha inoltre osservato diversi script che utilizzano tecniche diverse per distribuire il payload GootBot incorporato ad altri host. L'infrastruttura C2 di GootBot può generare rapidamente un gran numero di payload GootBot da diffondere, ciascuno con un indirizzo C2 diverso da contattare. Questi vengono distribuiti in modo automatizzato tramite script di movimento laterale, comportando eventuali reinfezioni degli host.
Gli script di movimento laterale utilizzano WinRM in PowerShell, tramite WMI o il cmdlet "Invoke-Command". Altri esempi includono la copia di payload tramite SMB e l'uso di chiamate WinAPI a SCM (Service Control Manager) per creare servizi remoti e compiti programmati.
In alcuni casi, GootBot utilizza anche credenziali esfiltrate per diffondere:
Figura: Movimento laterale tramite WinRM Invoke-Command
Figura: Movimento laterale tramite SCM
È stato inoltre dimostrato che GootBot utilizza variabili di ambiente per memorizzare stringhe criptate, riducendo ulteriormente la dimensione degli script. Inoltre, GootBot può anche essere distribuito utilizzando una tecnica per falsificare gli argomenti dei processi PowerShell creando un nuovo processo prima di scrivere lo script malevolo all'input standard dei processi.
GootBot esegue anche uno script di ricognizione come uno dei suoi primi compiti. Contiene l'ID GootBot unico per l'host.
Le seguenti informazioni vengono raccolte e restituite al gestore del job:
I dati sono formattati con l'ID specificato. Vedi i dati di esempio di seguito con ID "FDA8970BA3":
Un'infezione da Gootloader può rapidamente portare alla distribuzione di strumenti aggiuntivi come Cobalt Strike, SystemBC e script di compromissione del dominio, inclusi gli attacchi Kerberoasting. Un altro comportamento osservato è l'esfiltrazione delle seguenti informazioni sensibili:
Inoltre, è noto che le infezioni da Gootloader possono causare il ransomware.
La scoperta della variante di Gootbot evidenzia quanto gli aggressori siano disposti a fare per eludere il rilevamento e operare in modo stealth. Si tratta di un malware molto efficace che consente agli aggressori di spostarsi lateralmente nell'ambiente con facilità e velocità ed estendere i propri attacchi. Inoltre, l'uso da parte di Hive 0127 di grandi cluster di domini WordPress compromessi rende sempre più difficile per i difensori bloccare il traffico dannoso. Poiché Gootloader funge frequentemente da fornitore di accesso iniziale, la consapevolezza di questi TTP e strumenti in evoluzione è importante per mitigare il rischio di attività post-sfruttamento impattanti.
Indicatore
Tipo di indicatore
Contesto
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
Server GootBot C2
http://63factory[.]jp/wordpress/
URL
Server GootBot C2
