Détection échouée : GootBot, la nouvelle variante malveillante du logiciel GootLoader, s’étend rapidement

« L’introduction par le groupe GootLoader de son propre bot personnalisé dans les dernières étapes de sa chaîne d’attaque est une tentative d’éviter les détections lors de l’utilisation d’outils standard de C2 tels que CobaltStrike ou RDP », ont déclaré Golo Mühr et Ole Villadsen, chercheurs chez IBM X-Force.

« Cette nouvelle variante est un logiciel malveillant léger mais efficace qui permet aux attaquants de se propager rapidement dans le réseau et de déployer d’autres charges utiles.

GootLoader, comme son nom l’indique, est un logiciel malveillant capable de télécharger des logiciels malveillants de niveau suivant après avoir attiré des victimes potentielles à l’aide de tactiques d’empoisonnement par optimisation des moteurs de recherche (SEO). Il est lié à un acteur de la menace connu sous le nom de Hive0127 (alias UNC2565).

L’utilisation de GootBot indique un changement tactique, l’implant étant téléchargé en tant que charge utile après une infection par Gootloader au lieu de cadres de post-exploitation tels que CobaltStrike.

Décrit comme un script PowerShell obfusqué, GootBot est conçu pour se connecter à un site WordPress compromis afin d’en prendre le contrôle et de recevoir d’autres commandes.

L’utilisation d’un serveur C2 unique codé en dur pour chaque échantillon déposé de GootBot complique encore les choses, ce qui rend difficile le blocage du trafic malveillant.

« Les campagnes actuellement observées s’appuient sur des recherches empoisonnées par le référencement pour des thèmes tels que les contrats, les formulaires juridiques ou d’autres documents liés aux affaires, et dirigent les victimes vers des sites compromis conçus pour ressembler à des forums légitimes où elles sont incitées à télécharger la charge utile initiale sous la forme d’un fichier d’archive », ont déclaré les chercheurs.

Le fichier d’archive comprend un fichier JavaScript obscurci qui, une fois exécuté, récupère un autre fichier JavaScript déclenché par une tâche planifiée pour assurer la persistance.

Dans un deuxième temps, JavaScript est conçu pour exécuter un script PowerShell afin de recueillir des informations sur le système et de les exfiltrer vers un serveur distant qui, à son tour, répond par un script PowerShell exécuté dans une boucle infinie et permettant à l’acteur de la menace de distribuer diverses charges utiles. Il s’agit notamment de GootBot, qui se connecte à son serveur C2 toutes les 60 secondes pour récupérer des tâches PowerShell à exécuter et transmettre les résultats de l’exécution au serveur sous la forme de requêtes HTTP POST.

Les autres capacités de GootBot vont de la reconnaissance à l’exécution de mouvements latéraux dans l’environnement, ce qui permet d’étendre l’échelle de l’attaque.

« La découverte de la variante Gootbot montre à quel point les attaquants sont prêts à tout pour échapper à la détection et opérer en toute discrétion », a déclaré le commissaire européen à l’environnement, à la santé et à la protection des consommateurs.