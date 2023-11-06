IBM X-Force® は、Gootloaderの新しい亜種である "GootBot "インプラントを発見しました。このインプラントは、ステルス的な横移動を容易にし、企業環境内でのGootloaderキャンペーンの検知とブロックをより困難にします。X-Forceは、これらのキャンペーンがSEOポイズニングを利用し、疑いの余地のない被害者の検索活動に賭けていることを観察しており、ブログで詳しく分析しています。Gootloaderグループが攻撃チェーンの後半段階に独自のチャットボットを導入するのは、CobaltStrikeやRDPなどのC2用既製ツールを使用した場合に検知を回避する試みです。この新しい亜種は軽量でありながら効果的なマルウェアであり、攻撃者はネットワーク全体に急速に拡散し、さらなるペイロードを展開することができます。
以前は、Gootloaderは初回アクセスのマルウェアとしてのみ観測され、その後、攻撃者はCobaltStrikeのようなツールをロードしたり、ネットワーク内で拡散するためにRDPを使用したりしていました。横移動にGootBotを活用したキャンペーンは、このカスタム・ツールにより脅威アクターが長期間レーダーの下にとどまることを可能にするため、感染後のTTPに大きな変化をもたらしています。GootBotは、Gootloaderに感染した後にペイロードとしてダウンロードされ、ジョブとして実行される暗号化されたPowerShellスクリプトの形式でC2タスクを受信する機能を備えています。Gootloaderとは異なり、GootBotは軽量の難読化PSスクリプトであり、単一のC2サーバーのみを含みます。GootBot インプラントは、それぞれにハッキングされた WordPress サイト上で実行される異なる C2 サーバーが含まれており、ドメインコントローラーに到達することを期待して、感染した企業ドメイン全体に大量に拡散します。執筆時点で、GootBotはVirusTotalにリストされていません。このTTPとツールの変化により、Gootloaderにリンクしたランサムウェアのアフィリエイト活動など、エクスプロイテーション後の段階が成功するリスクが高まります。
X-Force が Hive0127 (別名UNC2565 ) として追跡している Gootloader グループは、2014 年から活動しており、 SEO ポイズニングと侵害された WordPress サイトの組み合わせを利用して Gootloader を配信しています。Gootloader 感染は、ランサムウェアのアフィリエイトを含む他の脅威アクターに最初のアクセスを提供し、攻撃はIcedID 、 Cobalt Strike、SystemBCなどの後続のペイロードにつながっています。
X-Forceは、このグループが悪意のあるキャンペーンの一環としてSEOポイズニングを利用していることを観察しています。SEOポイズニングとは、脅威アクターが検索エンジンの最初の結果を操作し、ユーザーを侵害されたWebサイトに誘導するために使用する方法です。正確、安全、正当であり続ける必要があります。Hive0127は通常、契約書、法的フォーム、またはその他のビジネス関連文書のオンライン検索をターゲットにしています。例えば、「決算説明書は包括契約と同じですか？」などです。ターゲットには、ポイズニングされた検索エンジンの成果の上部に正規のフォーラムとして表示されるように変更された侵害されたWebサイトが配信されます。フォーラムの会話の中で、ターゲットは最初の検索用語に関連するアーカイブ・ファイルをダウンロードさせますが、実際にはGootloaderが含まれています。
次のグラフは、GootloaderがGootBotを採用してネットワーク全体に広がる様子を示した例です。以下の分析セクションでは、さまざまな感染段階について詳しく説明します。
Gootloader感染は、ユーザーが、Gootloaderの第1段階である大幅に難読化されたJavaScriptファイルを含む感染したアーカイブをダウンロードすることから始まります。実行時に、%APPDATA%フォルダーの下に選択したサブフォルダーに、目立たない英語のファイル名を持つ別のJavaScriptファイルがドロップされます。Gootloaderは%APPDATA%に新しいフォルダーを作成するのではなく、既存のフォルダーを選択します。この選択はランダムではなく、%APPDATA%フォルダーにあるサブフォルダーの数に基づいて計算されます。次のように計算されます。
722 – （ラウンドダウン(722 / Number_of_subholders) * Number_of_subholders)
Gootloaderは、第2段階を直接実行する代わりに、スケジュールされたタスクをトリガーしてJavaScriptを実行し、永続化します。
スケジュールされたタスクには、次のパラメーターがあります。
Name: <ランダムな英語の単語>
Action: wscript <「~1.JS」で終わる第2段階の短いファイル名>
Folder: [%APPDATA% のサブフォルダー]
Trigger: LogonTriggerID [現在のユーザーの次回のログオン時]
第2段階のJavaScriptが実行されると、PowerShellスクリプトと第3段階でシステム情報を収集し、10台のハードコード化されたC2サーバーのいずれかにアップロードします。Gootloaderは、ハッキングされたWordPressサイトを使用してC2サーバーを実行し、C2 URLパスが「/xmlrpc.php」で終わるようにします。
以下は、マルウェアからのHTTPリクエストの例です。
ユーザーエージェントは、推定マルウェアIDである3B47772CE3と同様に一致しています。
このマルウェアは、Gootloaderが実行するPowerShellスクリプトを含むデータをC2が応答することを期待しています。
第3段階のPowerShellスクリプトでは無限ループを実行し、アクターはC2にさまざまなPowerShellペイロードを応答させることができます。
X-Forceが観察したペイロードの1つは、Gootloaderの新しい亜種であるGootBotです。非常によく似た主要な機能を備えていますが、軽量のPowerShellスクリプトの形式をとっています。ステージ3のPowerShellスクリプトとは異なり、GootBotには単一のC2サーバー・アドレスのみが含まれます。
以下の製品の画面のように、GootBotの文字列は置換キーによって少し難読化されています。
Gootloaderと同様に、チャットボットはC2サーバーにGETリクエストを送信し、PowerShellタスクをリクエストすることから始まります。最初のビーコンには、マルウェアによって追加された次のHTTPヘッダーがあります。
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/（Windows NT 10.0;Win64; x64) AppleWebKit/537.36（KHTML、Geckoなど）Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
GootBotは応答として、Base64でエンコードされたペイロードで構成される文字列と、最後の8文字がタスク名であることを期待します。次に、ペイロードをデコードし、「Start-Job」Cmdletを使用して新しいバックグラウンド・ジョブに実行する前に、単純なスクリプトブロックに挿入します。これにより、PowerShellペイロードは子プロセスを作成することなく非同期で実行できるため、EDRの検知数が減る可能性があります。
次の製品の画面は、C2タスクを実行する難読化されたコードを示しています。
デフォルトでは、GootBotは60秒ごとにビーコンを送信しますが、これは、子ジョブの情報属性に「asz」を含む特定の文字列を設定することで変更できます。同じことが、「asx」シグナル文字列で変更できる作業ディレクトリー・パスにも当てはまります。
ボットがC2からタスクを受信すると、次のループの反復は、C2サーバーによって要求されたすべての子ジョブについて、タスクの結果をクエリすることから始まります。ジョブが完了すると、成果が返されます。まだ完了していない場合は、文字列「E1」を送信します。ジョブが見つからない場合は、文字列「E2」を送信します。ジョブの結果は、次の形式を使用して、要求されたすべてのタスクについて連結されます。
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
結果の文字列は、以前のGootloader JavaScriptサンプルで観察された手法と同様のモジュロベースのアルゴリズムを介してBase64でエンコードおよび難読化されます。
今回、GootBotはPOSTリクエストをC2サーバーに送信します。データが 100,000 文字を超える場合は、次のような形式で、複数のリクエストに分割されます。
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/（Windows NT 10.0;Win64; x64) AppleWebKit/537.36（KHTML、Geckoなど）Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
また、ボットは次のタスクを含む応答を期待します。
GootBotは、環境全体に横方向に広がるように設計されています。初期ホストが感染すると、GootBotはホストとドメインを列挙する多数のスクリプトを受け取ります。X-Forceはまた、埋め込まれたGootBotペイロードを他のホストに分散するために、さまざまな手法を使用するいくつかのスクリプトを観察しました。GootBotsのC2インフラストラクチャーは、普及する多数のGootBotペイロードを迅速に生成でき、それぞれに連絡すべき所在地が含まれています。これらは自動化された方法で横移動スクリプトによってデプロイされるため、ホストが複数回再感染する可能性もあります。
横移動スクリプトは、WMIまたは「Invoke-Command」コマンドレットを介して、PowerShellのWinRMを利用します。他の例としては、SMB経由でペイロードをコピーしたり、リモート・サービスやスケジュールされたタスクを作成するためにSCM（サービス・コントロール・マネージャー）へのWinAPI呼び出しを使用したりすることが含まれます。
場合によっては、GootBotは盗み出した認証情報を使用して拡散することもあります。
図：WinRM Invoke-Commandを介した横移動
図:SCM による横移動
GootBotは、環境変数を使用して暗号化された文字列を保管することも示されており、これによりスクリプトのサイズがさらに減少します。さらに、GootBotは、プロセスの標準インプットに悪意のあるスクリプトを書き込む前に、新しいプロセスを作成することで、PowerShellプロセスの議論を偽装する手法を使用してデプロイされる場合もあります。
GootBotは、最初のタスクの1つとして偵察スクリプトも実行します。これには、ホストの一意のGootBot IDが含まれています。
次の情報がまとめられ、ジョブ・ハンドラーに返されます。
データは指定されたIDでフォーマットされます。以下のデータ例と、ID「FDA8970BA3」を参照してください。
Gootloaderに感染すると、Cobalt Strike、SystemBC、Kerberoasting攻撃を含むドメイン侵害スクリプトなどの追加ツールのデプロイメントにすぐにつながる可能性があります。その他に観察された行動は、次の機密情報の漏洩です。
さらに、Gootloader感染はランサムウェアの成果としても知られています。
Gootbotの亜種の発見は、攻撃者が検知を回避し、ステルス攻撃を仕掛ける様子を浮き彫りにしています。これは、攻撃者が環境全体を簡単かつ迅速に横方向に動き、攻撃を拡張できるようにする非常に効果的なマルウェアです。さらに、Hive 0127は侵害されたWordPressドメインの大規模クラスターを使用しているため、防御側による悪意あるトラフィックのブロックがますます困難になっています。Gootloaderは初期アクセスプロバイダーとして機能することが多いため、影響力のあるエクスプロイテーション後の活動リスクを軽減するには、これらの進化するTTPとツールを認識するアウェアネスが重要です。
X-Forceのセキュリティ研究、脅威インテリジェンス、ハッカー主導の洞察についての詳細は、X-Force研究ハブをご覧ください。
分類
インジケーターの種類
コンテキスト
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot社
95dbd3f273d621fa71631882d00be
SHA256
GootBot社
https://contentstudent[.]com/
URL
GootBot C2サーバー
http://63factory[.]jp/wordpress/
URL
GootBot C2サーバー
