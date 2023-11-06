اكتشفت IBM X-Force نسخة جديدة من Gootloader — وهي غرسة GootBot — التي تسهل حركة الانتشار الجانبي المتخفية، وتُصعِّب اكتشاف حملات Gootloader وحظرها داخل بيئات الشركات. لاحظت X-Force استغلال هذه الحملات لتقنية تسميم محسنات محركات البحث، مراهنةً على نشاط البحث للضحايا غير الحذرين، وهو ما نحلله بشكل أعمق في المدونة. إن إدخال مجموعة Gootloader لروبوت خاص بها في المراحل المتأخرة من سلسلة هجماتها هي بمثابة محاولة لتجنب الكشف عند استخدام أدوات جاهزة لـ C2 مثل CobaltStrike أو RDP. هذا المتغير الجديد عبارة عن برنامج ضار خفيف الوزن ولكنه فعال يسمح للمهاجمين بالانتشار السريع عبر الشبكة ونشر حمولات أخرى.
في السابق، لوحظ أن Gootloader كان يُستخدم فقط بصفته برنامجًا ضارًا للوصول الأولي، وبعد ذلك كان المهاجمون يحملون أدوات مثل CobaltStrike أو يستخدمون RDP للانتشار داخل الشبكة. تشكل الحملات التي تستفيد من GootBot للحركة الجانبية تغييرًا كبيرًا في الأساليب والتقنيات والإجراءات (TTPs) المتبعة بعد الإصابة، حيث تتيح هذه الأداة المخصصة لعناصر التهديد أن يبقوا متخفيين لفترة أطول. يتم تنزيل GootBot كحمولة بعد الإصابة بـ Gootloader ولديه القدرة على تلقي مهام C2 في شكل برامج PowerShell نصية مشفرة، والتي يتم تشغيلها كمهام. على عكس Gootloader، فإن GootBot هو برنامج نصي خفيف الوزن ومبهم لـ PS، يحتوي على خادم C2 واحد فقط. تنتشر غرسات GootBot بأعداد كبيرة داخل نطاقات الشركات المصابة، حيث تحتوي كل غرسة منها على خادم C2 مختلف يعمل على موقع WordPress مخترق، وذلك على أمل الوصول إلى وحدة التحكم بالنطاق. حتى وقت كتابة هذا التقرير، لم يتم رصد أي حالات اكتشاف لبرنامج GootBot على موقع VirusTotal. يزيد هذا التحول في الأساليب والتقنيات والإجراءات (TTPs) والأدوات من خطر نجاح مراحل ما بعد الاستغلال، مثل نشاط برامج الفدية الضارة المرتبطة بـ Gootloader.
إن مجموعة Gootloader، التي تتابعها X-Force باسم Hive0127 (المعروفة أيضًا باسم UNC2565)، نشطة منذ عام 2014 وتعتمد على مزيج من تسميم محسنات محركات البحث ومواقع WordPress المخترقة لإيصال Gootloader. توفر إصابات Gootloader وصولاً أوليًا لعناصر تهديد أخرى، بما في ذلك شركاء برامج الفدية الضارة، وقد أدت الهجمات إلى ظهور حمولات لاحقة مثل IcedID وCobalt Strike وSystemBC.
رصدت X-Force استغلال المجموعة لتقنية تسميم محسنات محركات البحث كجزء من حملاتها الخبيثة، وهي وسيلة يستخدمها المهاجمون للتلاعب بنتائج محركات البحث بهدف توجيه المستخدمين إلى مواقع إلكترونية مخترقة، وذلك بناءً على الاعتقاد السائد بأن النتائج الأولى لمحركات البحث غالبًا ما تكون دقيقة وآمنة ومشروعة. تستهدف Hive0127 عادةً عمليات البحث عبر الإنترنت عن العقود أو الأشكال القانونية أو المستندات الأخرى المتعلقة بالأعمال؛ على سبيل المثال: "هل البيان الختامي هو نفسه العقد الكبير؟". يتم توجيه الضحايا المستهدفين إلى موقع إلكتروني مخترق، تم تعديله ليظهر كأنه منتدى نقاش مشروع في أعلى صفحة نتائج محرك البحث المسمومة. ضمن محادثة المنتدى، يتم بعد ذلك خداع الأهداف لتحميل ملف أرشيف مرتبط بعبارات البحث الأولية، ولكنه يحتوي في الواقع على برنامج Gootloader.
الرسم البياني التالي هو مثال على كيفية استخدام Gootloader لـ GootBot للانتشار عبر الشبكة. توضح أقسام التحليل أدناه بالتفصيل مراحل الإصابة المختلفة:
تبدأ إصابات Gootloader بتحميل المستخدم لأرشيف مصاب يحتوي على ملف JavaScript مشوش بشكل كبير، وهي المرحلة الأولى من Gootloader. عند التنفيذ، يقوم بإسقاط ملف JavaScript آخر في مجلد فرعي محدد ضمن المجلد %APPDATA% باسم ملف إنجليزي غير لافت للنظر. لا يُنشئ Gootloader مجلدًا جديدًا في٪ APPDATA٪ ولكنه يختار مجلدًا موجودًا بالفعل. هذا التحديد ليس عشوائيًا ولكن يتم حسابه بناءً على عدد المجلدات الفرعية الموجودة في المجلد %APPDATA%. ويتم حسابها على النحو التالي:
722 – (تقريب العدد إلى أقرب عدد صحيح (722 / عدد_المجلدات_الفرعية) * عدد_المجلدات_الفرعية)
وبدلاً من تشغيل المرحلة الثانية مباشرة، يُشغِّل برنامج Gootloader مهمة مجدولة لتشغيل JavaScript بالإضافة إلى جعلها مستمرة.
تحتوي المهمة المجدولة على المعلمات التالية:
الاسم: <كلمات إنجليزية عشوائية>
الإجراء: wscript <اسم الملف المختصر للمرحلة الثانية وينتهي بـ "~1.JS">
المجلد: [مجلد فرعي في %APPDATA%]
المُشغِّل: LogonTriggerID [عند تسجيل دخول المستخدم الحالي في المرة القادمة]
وبمجرد تنفيذ المرحلة الثانية من JavaScript، تقوم بتشغيل برنامج PowerShell النصي والمرحلة الثالثة التي تجمع معلومات النظام وترفعها إلى أي من خوادم C2 العشرة المشفرة الثابتة. ويستخدم برنامج Gootloader مواقع WordPress المخترقة لتشغيل خوادم C2 الخاصة به، ما يؤدي إلى مسارات عناوين URL الخاصة بـ C2 والتي تنتهي بـ "/xmlrpc.php".
فيما يلي مثال على طلب HTTP من البرنامج الضار.
يتطابق وكيل المستخدم وكذلك معرف البرنامج الضار المفترض، 3B47772CE3.
يتوقع البرنامج الضار أن يستجيب C2 ببيانات تحتوي على نص PowerShell يُشغِّله Gootloader.
يتم تشغيل البرنامج النصي PowerShell في المرحلة الثالثة في حلقة لا نهاية لها، ما يمنح عنصر التهديد القدرة على جعل C2 يستجيب بحمولات PowerShell مختلفة.
إحدى الحمولات التي رصدتها X-Force هي GootBot، وهي نسخة جديدة من Gootloader. وتتميز بقدرات مشابهة جدًا، ولكنها تأتي على شكل نص PowerShell خفيف الوزن. على عكس نص PowerShell في المرحلة الثالثة، يحتوي GootBot على عنوان خادم C2 واحد فقط.
يتم تشويش سلاسل GootBot قليلاً عبر مفتاح بديل، كما هو موضح في لقطة الشاشة أدناه:
على غرار Gootloader، يبدأ الروبوت بإرسال طلب GET إلى خادم C2 الخاص به، ليطلب مهام PowerShell. يحتوي جهاز الإرسال الأول على رؤوس HTTP التالية التي أضافها البرنامج الضار:
احصل على /xmlrPC.php HTTP / 1،1
وكيل المستخدم: Mozilla/5.0 (Windows NT 10.0؛ Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
ملف تعريف الارتباط: <BOT_ID>= <إذا كان المستخدم مسؤولاً: 0/1>
Pragma: لا توجد ذاكرة تخزين مؤقت
التحكم في ذاكرة التخزين المؤقت: من دون ذاكرة تخزين مؤقت، من دون تخزين
تنتهي صلاحيته: 0
وكاستجابة، يتوقع GootBot سلسلة تتكون من حمولة مشفرة بترميز Base64، وأن تكون آخر 8 أحرف هي اسم المهمة. ثم يفك تشفير الحمولة ويدخلها في كتلة برمجية بسيطة قبل تنفيذها في مهمة خلفية جديدة باستخدام الأمر البرمجي "Start-Job". ويتيح ذلك تشغيل حمولة PowerShell بشكل غير متزامن ومن دون إنشاء عملية فرعية، ما قد يؤدي إلى تقليل اكتشاف نقاط النهاية والاستجابة لها.
تُظهر لقطة الشاشة التالية الرمز الذي تم فك تشفيره والذي يُشغِّل مهمة C2.
بشكل افتراضي، يرسل GootBot إشارات كل 60 ثانية، ومع ذلك، يمكن تغيير ذلك عن طريق تعيين سلسلة محددة تحتوي على "asz" في سمة معلومات المهام الفرعية. وينطبق الأمر نفسه على مسار دليل العمل، والذي يمكن تغييره باستخدام سلسلة إشارات "asx".
بمجرد أن يتلقى الروبوت مهمة من C2، يبدأ تكرار الحلقة التالية بالاستعلام عن نتائج المهمة لكل مهمة فرعية يطلبها خادم C2. إذا تم إنجاز المهمة، فإنها ستعيد نتائج المهمة. إذا لم تكن المهمة قد اكتملت بعد، فسوف ترسل السلسلة "E1" أو السلسلة "E2" إذا تعذر العثور على المهمة. يتم بعد ذلك ربط نتائج المهام لجميع المهام المطلوبة باستخدام التنسيق التالي:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
يتم ترميز السلسلة الناتجة باستخدام Base64 وتشويشها عبر خوارزمية تعتمد على modulo وهي تقنية مشابهة لتلك التي رُصدت في عينات Gootloader السابقة المكتوبة بلغة JavaScript.
هذه المرة، يرسل GootBot طلب POST إلى خادم C2 الخاص به. إذا كانت البيانات أكبر من 100,000 حرف يتم تقسيمها إلى طلبات متعددة، منسقة على النحو التالي:
POST /xmlrpc.php HTTP/1.1
وكيل المستخدم: Mozilla/5.0 (Windows NT 10.0؛ Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
ملف تعريف الارتباط: <BOT_ID>=<إذا كان المستخدم هو المسؤول: 0/1>|<اسم المهمة 1>|<اسم المهمة 2>|<اسم المهمة 3>|<اسم المهمة 4>...
Pragma: لا توجد ذاكرة تخزين مؤقت
التحكم في ذاكرة التخزين المؤقت: من دون ذاكرة تخزين مؤقت، من دون تخزين
تنتهي صلاحيته: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
مرة أخرى، يتوقع الروبوت استجابة تحتوي على المهمة التالية.
تم تصميم GootBot أيضًا ليتم نشره بشكل جانبي في جميع أنحاء البيئة. بمجرد إصابة المضيف الأولي، يتلقى GootBot عددًا من البرامج النصية التي تعدد المضيف بالإضافة إلى النطاق. لاحظت X-Force أيضًا عدة برامج نصية تستخدم تقنيات مختلفة لنشر حمولة GootBot المدمجة إلى مضيفين آخرين. يمكن لبنية GootBot التحتية لـ C2 توليد أعداد كبيرة من حمولات GootBot بسرعة ليتم توزيعها، ويكون لكل منها عنوان C2 مختلف للاتصال. وتُنشر هذه الحمولات بواسطة البرامج النصية للحركة الجانبية بطريقة آلية، ما قد يؤدي أيضًا إلى إعادة إصابة المضيفين عدة مرات.
تستخدم البرامج النصية للحركة الجانبية WinRM في PowerShell، إما عن طريق WMI أو الأمر البرمجي "استدعاء الأمر". تشمل الأمثلة الأخرى نسخ الحمولات عبر SMB واستخدام استدعاءات WinAPI إلى إدارة التحكم في الخدمات (SCM) لإنشاء خدمات عن بعد ومهام مجدولة.
في بعض الحالات، يستخدم GootBot أيضًا بيانات الاعتماد المستخرجة لنشر:
الشكل: الحركة الجانبية عبر استدعاء الأمر WinRM
الشكل: الحركة الجانبية عبر إدارة التحكم في الخدمات
وقد ثبت أيضًا أن GootBot يستخدم متغيرات البيئة لتخزين السلاسل المشفّرة، ما يقلل من حجم البرامج النصية. بالإضافة إلى ذلك، قد يتم نشر GootBot أيضًا باستخدام تقنية لخداع وسيطات عمليات PowerShell عن طريق إنشاء عملية جديدة قبل كتابة البرنامج النصي الضار للإدخال القياسي للعمليات.
يُشغِّل برنامج GootBot أيضًا برنامج استطلاع كأحد مهامه الأولى. يحتوي على معرّف GootBot الفريد الخاص بالمضيف.
يتم تجميع المعلومات التالية وإعادتها إلى معالج المهمة:
يتم تنسيق البيانات باستخدام المعرف المحدد. راجع أمثلة البيانات أدناه باستخدام المعرف «FDA8970BA3":
قد تؤدي الإصابة ببرنامج Gootloader بسرعة إلى نشر أدوات إضافية مثل Cobalt Strike وSystemBC وبرامج اختراق المجال بما في ذلك هجمات Kerberoasting. ومن السلوكيات الأخرى التي لوحظت تسريب المعلومات الحساسة التالية:
بالإضافة إلى ذلك، من المعروف أن الإصابات بـ Gootloader تؤدي إلى الإصابة ببرامج الفدية الضارة.
إن اكتشاف نسخة Gootbot يسلط الضوء على المجهود الذي يبذله المهاجمون لتجنب اكتشافهم وليعملوا في الخفاء. هذا برنامج ضار فعّال للغاية يسمح للمهاجمين بالتحرك جانبيًا عبر البيئة بسهولة وبسرعة وتوسيع نطاق هجماتهم. بالإضافة إلى ذلك، فإن استخدام Hive 0127 لمجموعة كبيرة من نطاقات WordPress المخترقة يُصعِّب على المدافعين منع حركة المرور الخبيثة. ونظرًا إلى أن Gootloader يعمل في كثير من الأحيان كمزود وصول أولي، فإن الوعي بهذه الأساليب والأدوات المتطورة أمر مهم للتخفيف من مخاطر النشاط المؤثر بعد الاستغلال.
المؤشر
نوع المؤشر
السياق
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
عنوان URL
خادم GootBot C2
http://63factory[.]jp/wordpress/
عنوان URL
خادم GootBot C2
