新型 GootLoader 恶意软件变种逃避检测并迅速传播

一种名为 GootBot 的新型 GootLoader 恶意软件新变种已被发现，它能在被入侵系统上进行横向移动并逃避检测。恶意

IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说  ：GootLoader 组织在其攻击链的软件后期阶段引入了自己定制的机器人，试图在使用 CobaltStrike 或 RDP 等现成的变种并迅播 C2 工具时逃避检测。

这种新变种是逃避一种轻量级但有效的恶意软件，允许攻击者在整个网络中快速传播并部署更多的检测有效载荷
。亿华云

顾名思义，速传GootLoader 是新型一种恶意软件，能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意恶意软件 。它与一个名为 Hive0127（又名 UNC2565）的软件威胁行为者有关 。

GootBot 的变种并迅播使用表明了一种战术转变，即在 Gootloader 感染后作为有效载荷下载植入程序 ，逃避而不是检测使用 CobaltStrike 等后开发框架。源码下载

GootBot 是速传一个经过混淆的 PowerShell 脚本
，其目的新型是连接到被入侵的 WordPress 网站进行命令和控制
，并接收进一步的命令。

使问题更加复杂的是
，免费模板每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器 ，因此很难阻止恶意流量。

研究人员说 ：目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题，将受害者引向设计成合法论坛的受攻击网站，诱使他们下载带有病毒的文件
、建站模板文档。

存档文件包含一个混淆的JavaScript文件
，执行后会获取另一个JavaScript文件 ，该文件通过计划任务触发以实现持久性。

在第二阶段 ，JavaScript被设计为运行一个PowerShell脚本 
，用于收集系统信息并将其渗入远程服务器，而远程服务器则会响应一个无限循环运行的PowerShell脚本，并允许威胁行为者分发各种有效载荷。

其中包括 GootBot，高防服务器它每 60 秒向其 C2 服务器发出信标 ，获取 PowerShell 任务以供执行 ，并以 HTTP POST 请求的形式将执行结果传回服务器 。

GootBot 的其他一些功能包括侦察和在环境中进行横向移动，从而有效地扩大了攻击规模
 。

研究人员说：Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的香港云服务器风险，例如与GootLoader链接的勒索软件附属活动。

参考链接：https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html