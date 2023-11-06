IBM X-Force descubrió una nueva variante de Gootloader, el implante "GootBot", que facilita el movimiento lateral sigiloso y dificulta la detección y el bloqueo de las campañas de Gootloader dentro de los entornos empresariales. X-Force observó que estas campañas aprovechaban el envenenamiento de SEO, apostando por la actividad de búsqueda de víctimas desprevenidas, que analizamos más a fondo en el blog. La introducción del grupo Gootloader de su propio bot personalizado en las últimas etapas de su cadena de ataque es un intento de evitar las detecciones cuando se utilizan herramientas listas para usar para C2, como CobaltStrike o RDP. Esta nueva variante es un malware ligero, pero eficaz que permite a los atacantes propagarse rápidamente por toda la red y desplegar más cargas útiles.
Anteriormente, Gootloader solo se observaba como un malware de acceso inicial, después de lo cual los atacantes cargaban herramientas como CobaltStrike o usaban RDP para propagarse dentro de la red. Las campañas que aprovechan GootBot para el movimiento lateral constituyen un cambio significativo en los TTP posteriores a la infección, ya que esta herramienta personalizada permite a los actores de amenazas permanecer bajo el radar durante un período más largo. GootBot se descarga como carga útil después de una infección de Gootloader y tiene la capacidad de recibir tareas C2 en forma de scripts cifrados de PowerShell, que se ejecutan como trabajos. A diferencia de Gootloader, GootBot es un script PS ligero ofuscado, que contiene un solo servidor C2. Los implantes de GootBot, cada uno de los cuales contiene un servidor C2 diferente que se ejecuta en un sitio de WordPress hackeado, se propagan a través de dominios empresariales infectados en grandes cantidades con la esperanza de llegar a un controlador de dominio. En el momento de escribir este artículo, GootBot no tiene detecciones en VirusTotal. Este cambio en los TTP y las herramientas aumenta el riesgo de que las etapas posteriores a la explotación sean exitosas, como la actividad de afiliados de ransomware vinculada a Gootloader.
El grupo Gootloader, al que X-Force rastrea como Hive0127 (también conocido como UNC2565), lleva activo desde 2014 y se basa en una combinación de envenenamiento SEO y sitios WordPress comprometidos para distribuir Gootloader. Las infecciones por Gootloader proporcionan acceso inicial a otros actores de amenazas, incluidos los afiliados al ransomware , y los ataques han dado lugar a cargas útiles posteriores como IcedID, Cobalt Strike y SystemBC.
X-Force observó que el grupo aprovechaba el envenenamiento de SEO como parte de sus campañas maliciosas, que es un método que utilizan los actores de amenazas para manipular los resultados de los motores de búsqueda con el fin de llevar a los usuarios a sitios web comprometidos basados en la noción de que es probable que los primeros resultados de un motor de búsqueda sean precisos, seguros y legítimos. Hive0127 generalmente se dirige a búsquedas en línea de contratos, formularios legales u otros documentos relacionados con el negocio; por ejemplo: "¿Es lo mismo una declaración de cierre que un gran contrato?". Los objetivos reciben un sitio web comprometido modificado para que aparezca como un foro legítimo en la parte superior de la página de resultados del motor de búsqueda envenenado. Dentro de la conversación del foro, se engaña a los objetivos para que descarguen un archivo relacionado con sus términos de búsqueda iniciales, pero que en realidad contiene Gootloader.
El siguiente gráfico es un ejemplo de cómo Gootloader puede emplear GootBot para propagarse por una red. Las siguientes secciones de análisis detallan las diferentes etapas de la infección:
Las infecciones de Gootloader comienzan cuando un usuario descarga un archivo infectado, que contiene un archivo JavaScript significativamente ofuscado, que es la primera etapa de Gootloader. Tras la ejecución, coloca otro archivo JavaScript en una subcarpeta seleccionada en la carpeta %APPDATA% con un nombre de archivo en inglés discreto. Gootloader no crea una nueva carpeta en %APPDATA%, sino que selecciona una que ya existe. Esta selección no es aleatoria, sino que se calcula en función del número de subcarpetas que se encuentran en la carpeta %APPDATA%. Se calcula de la siguiente manera:
722 – (Redondear hacia abajo (722 / número_de_subcarpetas) * número_de_subcarpetas)
En lugar de ejecutar la segunda etapa directamente, Gootloader activa una tarea programada para ejecutar el JavaScript y hacerlo persistente.
La tarea programada tiene los siguientes parámetros:
Nombre: <Palabras aleatorias en inglés>
Acción: wscript <nombre de archivo corto de la segunda etapa que termina en “~1.JS”>
Carpeta: [Subcarpeta en %APPDATA%]
Desencadenador: LogonTriggerID [En el siguiente inicio de sesión del usuario actual]
Una vez que se ejecuta el JavaScript de la segunda etapa, ejecuta un script de PowerShell y la tercera etapa, que recopila información del sistema y la carga en cualquiera de sus 10 servidores C2 codificados. Gootloader utiliza sitios de WordPress hackeados para ejecutar sus servidores C2, lo que lleva a rutas URL C2 que terminan en "/xmlrpc.php".
A continuación se muestra un ejemplo de una solicitud HTTP del malware.
El usuario-agente es coherente, así como el presunto ID de malware, 3B47772CE3.
El malware espera que el C2 responda con datos que contienen un script de PowerShell que ejecuta Gootloader.
El script de PowerShell de la tercera etapa se ejecuta en un bucle sin fin, lo que le da al actor la capacidad de hacer que el C2 responda con diferentes cargas útiles de PowerShell.
Una de las cargas útiles que X-Force observó es GootBot, una nueva variante de Gootloader. Cuenta con capacidades muy similares, pero se presenta en forma de un script PowerShell ligero. A diferencia del script PowerShell de la etapa 3, GootBot solo contiene una única dirección de servidor C2.
Las cadenas de GootBot están ligeramente ofuscadas a través de una clave de reemplazo, como se ve en la captura de pantalla a continuación:
Al igual que Gootloader, el bot comienza enviando una solicitud GET a su servidor C2, solicitando tareas de PowerShell. La primera baliza tiene los siguientes encabezados HTTP agregados por el malware:
GET /xmlrpc.php HTTP/1.1
Usuario-agente: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<Si el usuario es administrador: 0/1>
Pragma: no-cache
Cache-control: sin caché, sin almacenar
Caduca: 0
Como respuesta, GootBot espera una cadena que consiste en una carga útil codificada en Base64, y los últimos 8 caracteres son el nombre de la tarea. Luego decodifica la carga útil y la inyecta en un bloque de script simple antes de ejecutarla en un nuevo trabajo en segundo plano utilizando el cmdlet "Start-Job". Esto permite que la carga útil de PowerShell se ejecute de forma asincrónica y sin crear un proceso secundario, lo que puede dar lugar a menos detecciones de EDR.
La siguiente captura de pantalla muestra el código desofuscado ejecutando la tarea C2.
De forma predeterminada, GootBot emite balizas cada 60 segundos; sin embargo, esto se puede cambiar configurando una cadena específica que contenga "asz" en el atributo de información de los trabajos secundarios. Lo mismo se aplica a la ruta del directorio de trabajo, que se puede cambiar con la cadena de señal “asx”.
Una vez que el bot recibe una tarea del C2, la siguiente iteración del bucle comenzará consultando el resultado de la tarea, para cada trabajo secundario solicitado por el servidor C2. Si el trabajo se ha completado, devolverá los resultados del trabajo. Si aún no se ha completado, enviará la cadena "E1" o la cadena "E2" si no se puede encontrar el trabajo. Luego, los resultados del trabajo se concatenan para todas las tareas solicitadas utilizando el siguiente formato:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
La cadena resultante está codificada en Base64 y ofuscada mediante un algoritmo basado en módulos que es similar a una técnica observada en muestras anteriores de JavaScript de Gootloader.
Esta vez, GootBot envía una solicitud POST a su servidor C2. Si los datos tienen más de 100 000 caracteres, se dividen en varias solicitudes, con el siguiente formato:
POST /xmlrpc.php HTTP/1.1
Usuario-agente: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-control: sin caché, sin almacenar
Caduca: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
Nuevamente, el bot espera una respuesta que contenga la siguiente tarea.
GootBot también se diseñó para propagarse lateralmente por todo el entorno. Una vez que se infecta un host inicial, GootBot recibe una serie de scripts que enumeran el host y el dominio. X-Force también observó varios scripts que utilizaban diferentes técnicas para difundir la carga útil incrustada de GootBot a otros hosts. La infraestructura C2 de GootBots puede generar rápidamente grandes cantidades de cargas útiles de GootBot para difundirlas, cada una con una dirección C2 diferente para contactar. Estas se despliegan mediante scripts de movimiento lateral de forma automatizada, lo que también puede llevar a que los hosts se vuelvan a infectar varias veces.
Los scripts de movimiento lateral utilizan WinRM en PowerShell, ya sea mediante WMI o el Cmdlet "Invoke-Command". Otros ejemplos incluyen la copia de cargas útiles a través de SMB y el uso de llamadas WinAPI a SCM (Service Control Manager) para crear servicios remotos y tareas programadas.
En algunos casos, GootBot también utiliza credenciales exfiltradas para difundir:
Figura: Movimiento lateral a través de WinRM Invoke-Command
Figura: Movimiento lateral a través del SCM
También se ha demostrado que GootBot utiliza variables de entorno para almacenar cadenas cifradas, lo que reduce aún más el tamaño de los scripts. Además, GootBot también puede desplegarse mediante una técnica para falsificar los argumentos de los procesos de PowerShell creando un nuevo proceso antes de escribir el script malicioso en la entrada de los procesos.
GootBot también ejecuta un script de reconocimiento como una de sus primeras tareas. Contiene el ID único de GootBot para el host.
La siguiente información se reúne y se devuelve al controlador de trabajos:
Los datos están formateados con el ID especificado. Vea los datos de ejemplo a continuación con ID "FDA8970BA3":
Una infección de Gootloader puede conducir rápidamente al despliegue de herramientas adicionales, como Cobalt Strike, SystemBC y scripts de compromiso de dominio, incluidos los ataques de Kerberoasting. Otro comportamiento observado es la exfiltración de la siguiente información confidencial:
Además, se sabe que las infecciones por Gootloader también pueden provocar ransomware.
El descubrimiento de la variante Gootbot pone de relieve los extremos a los que llegarán los atacantes para evadir la detección y operar sigilosamente. Este es un malware altamente efectivo que permite a los atacantes moverse lateralmente por el entorno con facilidad y velocidad y extender sus ataques. Además, el uso de Hive 0127 de grandes clústeres de dominios de WordPress comprometidos hace que sea cada vez más difícil para los defensores bloquear el tráfico malicioso. Como Gootloader sirve con frecuencia como proveedor de acceso inicial, la concientización de estos TTPs y herramientas en evolución es importante para mitigar el riesgo de una actividad impactante posterior a la explotación.
Indicador
Tipo de indicador
Contexto
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
Servidor C2 de GootBot
http://63factory[.]jp/wordpress/
URL
Servidor C2 de GootBot
