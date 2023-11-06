IBM® X-Force는 Gootloader의 새로운 변종인 'GootBot' 임플란트를 발견했습니다. 이는 기업 환경에서 은밀한 수평 이동을 용이하게 하며, Gootloader 캠페인의 탐지와 차단을 더욱 어렵게 만듭니다. X-Force는 이러한 캠페인이 SEO 중독을 활용하여 순진한 피해자들의 검색 활동을 노리는 것을 관찰했습니다. 이에 대한 자세한 분석은 블로그에서 확인할 수 있습니다. Gootloader 그룹이 공격 체인의 후반 단계에 자체 제작 봇을 도입한 것은 Cobalt Strike나 RDP 같은 상용 C2 도구를 사용할 때 발생하는 탐지를 회피하려는 시도입니다. 이 새로운 변종은 가볍지만 효과적인 멀웨어로, 공격자가 네트워크 전체에 빠르게 확산하고 추가 페이로드를 배포할 수 있도록 합니다.

이전에는 Gootloader가 초기 액세스 멀웨어로만 관찰되었으며, 그 후 공격자가 Cobalt Strike 같은 툴을 로드하거나 RDP를 이용해 네트워크 내 확산을 시도했습니다. GootBot을 활용한 수평 이동 캠페인은 감염 후 TTP의 중요한 변화로, 이 맞춤형 툴이 위협 행위자를 더 오랜 기간 탐지되지 않을 수 있도록 합니다. GootBot은 Gootloader 감염 후 페이로드로 다운로드되며 작업으로 실행되는 암호화된 PowerShell 스크립트의 형태로 C2 작업을 수신할 수 있습니다. Gootloader와 달리 GootBot은 단일 C2 서버만 포함하는 가볍고 난독화된 PS 스크립트입니다. GootBot 임플란트는 각각 해킹된 WordPress 사이트에서 실행되는 다른 C2 서버를 포함하며, 도메인 컨트롤러에 도달하기 위해 감염된 기업 도메인 전체에 대량으로 확산됩니다. 이 글을 쓰는 시점 기준으로, GootBot은 VirusTotal에 탐지 기록이 없습니다. TTP 및 툴의 이러한 변화는 Gootloader와 관련된 랜섬웨어 제휴 활동과 같은 공격 후 단계의 성공 위험을 높입니다.