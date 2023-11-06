اكتشفت IBM X-Force نسخة جديدة من Gootloader — وهي غرسة GootBot — التي تسهل حركة الانتشار الجانبي المتخفية، وتُصعِّب اكتشاف حملات Gootloader وحظرها داخل بيئات الشركات. لاحظت X-Force استغلال هذه الحملات لتقنية تسميم محسنات محركات البحث، مراهنةً على نشاط البحث للضحايا غير الحذرين، وهو ما نحلله بشكل أعمق في المدونة. إن إدخال مجموعة Gootloader لروبوت خاص بها في المراحل المتأخرة من سلسلة هجماتها هي بمثابة محاولة لتجنب الكشف عند استخدام أدوات جاهزة لـ C2 مثل CobaltStrike أو RDP. هذا المتغير الجديد عبارة عن برنامج ضار خفيف الوزن ولكنه فعال يسمح للمهاجمين بالانتشار السريع عبر الشبكة ونشر حمولات أخرى.

في السابق، لوحظ أن Gootloader كان يُستخدم فقط بصفته برنامجًا ضارًا للوصول الأولي، وبعد ذلك كان المهاجمون يحملون أدوات مثل CobaltStrike أو يستخدمون RDP للانتشار داخل الشبكة. تشكل الحملات التي تستفيد من GootBot للحركة الجانبية تغييرًا كبيرًا في الأساليب والتقنيات والإجراءات (TTPs) المتبعة بعد الإصابة، حيث تتيح هذه الأداة المخصصة لعناصر التهديد أن يبقوا متخفيين لفترة أطول. يتم تنزيل GootBot كحمولة بعد الإصابة بـ Gootloader ولديه القدرة على تلقي مهام C2 في شكل برامج PowerShell نصية مشفرة، والتي يتم تشغيلها كمهام. على عكس Gootloader، فإن GootBot هو برنامج نصي خفيف الوزن ومبهم لـ PS، يحتوي على خادم C2 واحد فقط. تنتشر غرسات GootBot بأعداد كبيرة داخل نطاقات الشركات المصابة، حيث تحتوي كل غرسة منها على خادم C2 مختلف يعمل على موقع WordPress مخترق، وذلك على أمل الوصول إلى وحدة التحكم بالنطاق. حتى وقت كتابة هذا التقرير، لم يتم رصد أي حالات اكتشاف لبرنامج GootBot على موقع VirusTotal. يزيد هذا التحول في الأساليب والتقنيات والإجراءات (TTPs) والأدوات من خطر نجاح مراحل ما بعد الاستغلال، مثل نشاط برامج الفدية الضارة المرتبطة بـ Gootloader.