IBM X-Force® は、Gootloaderの新しい亜種である "GootBot "インプラントを発見しました。このインプラントは、ステルス的な横移動を容易にし、企業環境内でのGootloaderキャンペーンの検知とブロックをより困難にします。X-Forceは、これらのキャンペーンがSEOポイズニングを利用し、疑いの余地のない被害者の検索活動に賭けていることを観察しており、ブログで詳しく分析しています。Gootloaderグループが攻撃チェーンの後半段階に独自のチャットボットを導入するのは、CobaltStrikeやRDPなどのC2用既製ツールを使用した場合に検知を回避する試みです。この新しい亜種は軽量でありながら効果的なマルウェアであり、攻撃者はネットワーク全体に急速に拡散し、さらなるペイロードを展開することができます。

以前は、Gootloaderは初回アクセスのマルウェアとしてのみ観測され、その後、攻撃者はCobaltStrikeのようなツールをロードしたり、ネットワーク内で拡散するためにRDPを使用したりしていました。横移動にGootBotを活用したキャンペーンは、このカスタム・ツールにより脅威アクターが長期間レーダーの下にとどまることを可能にするため、感染後のTTPに大きな変化をもたらしています。GootBotは、Gootloaderに感染した後にペイロードとしてダウンロードされ、ジョブとして実行される暗号化されたPowerShellスクリプトの形式でC2タスクを受信する機能を備えています。Gootloaderとは異なり、GootBotは軽量の難読化PSスクリプトであり、単一のC2サーバーのみを含みます。GootBot インプラントは、それぞれにハッキングされた WordPress サイト上で実行される異なる C2 サーバーが含まれており、ドメインコントローラーに到達することを期待して、感染した企業ドメイン全体に大量に拡散します。執筆時点で、GootBotはVirusTotalにリストされていません。このTTPとツールの変化により、Gootloaderにリンクしたランサムウェアのアフィリエイト活動など、エクスプロイテーション後の段階が成功するリスクが高まります。