新型GootLoader恶意软件变种逃避检测并迅速传播

一种名为 GootBot 的 GootLoader 恶意软件新变种已被发现，它能在被入侵系统上进行横向移动并逃避检测。

创新互联公司是一家集网站建设,东宁企业网站建设,东宁品牌网站建设,网站定制,东宁网站建设报价,网络营销,网络优化,东宁网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说：GootLoader 组织在其攻击链的后期阶段引入了自己定制的机器人，试图在使用 CobaltStrike 或 RDP 等现成的 C2 工具时逃避检测。

这种新变种是一种轻量级但有效的恶意软件，允许攻击者在整个网络中快速传播并部署更多的有效载荷。

顾名思义，GootLoader 是一种恶意软件，能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意软件。它与一个名为 Hive0127（又名 UNC2565）的威胁行为者有关。

GootBot 的使用表明了一种战术转变，即在 Gootloader 感染后作为有效载荷下载植入程序，而不是使用 CobaltStrike 等后开发框架。

GootBot 是一个经过混淆的 PowerShell 脚本，其目的是连接到被入侵的 WordPress 网站进行命令和控制，并接收进一步的命令。

使问题更加复杂的是，每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器，因此很难阻止恶意流量。

GootLoader 恶意软件

研究人员说：目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题，将受害者引向设计成合法论坛的受攻击网站，诱使他们下载带有病毒的文件、文档。

存档文件包含一个混淆的JavaScript文件，执行后会获取另一个JavaScript文件，该文件通过计划任务触发以实现持久性。

在第二阶段，JavaScript被设计为运行一个PowerShell脚本，用于收集系统信息并将其渗入远程服务器，而远程服务器则会响应一个无限循环运行的PowerShell脚本，并允许威胁行为者分发各种有效载荷。

其中包括 GootBot，它每 60 秒向其 C2 服务器发出信标，获取 PowerShell 任务以供执行，并以 HTTP POST 请求的形式将执行结果传回服务器。

GootBot 的其他一些功能包括侦察和在环境中进行横向移动，从而有效地扩大了攻击规模。

研究人员说：Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的风险，例如与GootLoader链接的勒索软件附属活动。

参考链接：https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html

当前名称：新型GootLoader恶意软件变种逃避检测并迅速传播
标题链接：http://www.csdahua.cn/qtweb/news33/548433.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网