En nylig analyse udført af Kroll i første kvartal af 2023 kaster lys over infektionskæden af ​​den berygtede GOOTLOADER malware.

Trusselsaktørerne bag GOOTLOADER anvender Search Engine Optimization (SEO) teknikker til at lokke intetanende personer til ondsindede websteder eller kompromitterede WordPress-websteder. Disse websteder er vært for lokkende dokumenter, der er særligt attraktive for fagfolk i juridiske og andre relaterede sektorer. Et almindeligt søgeord, der bruges af ofre på tværs af forskellige sager, er "aftale", der omfatter sætninger som "overgangsserviceaftale", "aktiekøbsaftale" og "transaktionsaftale".

De ondsindede websteder manipulerer SEO-resultater og sikrer, at de vises øverst på søgemaskinelister, og opmuntrer dermed brugere til at klikke på skadelige links, der fører til websteder, der kontrolleres af trusselsaktørerne. GOOTLOADER udnytter derefter et sårbart WordPress-plugin til at downloade en zip-fil fra et andet kompromitteret websted efter at have verificeret visse betingelser om ofrets system og IP-adresse.

Inden i zip-filen ligger en JavaScript (JS)-fil, opkaldt efter det søgte element, som udfører en anden fase JS-fil, når den åbnes. Dette initierer udrulningen af ​​en SYSTEMBC-fjernadgangstrojaner, der giver angriberne mulighed for at oprette forbindelse til kommando-og-kontrol (C2) IP-adresser. Efterfølgende eskalerer trusselsaktørerne fjernadgang ved at implementere COBALTSTRIKE.

Afpresning og virksomheds spionage

Krolls observationer har ikke afsløret beviser for afpresning, ransomware-kryptering eller dataeksfiltrering på det dybe og mørke web (DDW) i disse tilfælde. Aktiviteten ser ud til at være mere på linje med virksomhedsspionage frem for økonomisk motiveret cyberkriminalitet. Ikke desto mindre kan andre ondsindede grupper, såsom ransomware-aktører, udnytte den første adgang, som GOOTLOADER har opnået.

Malwaren distribueres ofte gennem SEO-forgiftning og ved at kompromittere legitime websteder til at hoste deres ondsindede indhold, med sårbare WordPress-websteder, der fungerer som foretrukne leveringssteder. En fordel ved SEO-forgiftning er, at det er sværere for forsvarere at opdage, da det ikke kræver interaktion med ofrets infrastruktur. Offeret skal blot nå det ondsindede indhold og ubevidst downloade malwaren. Et almindeligt trick involverer at skabe svigagtige fora, såsom en tilsyneladende uskadelig tråd relateret til søgetermen, for at give legitimitet til at poste det ondsindede link.

Inden for sådanne fora præsenterer trusselsaktørerne downloads af ondsindede .zip-filer opkaldt efter offerets søgeforespørgsel. Krolls hændelsessager fra marts og april 2023 bekræfter tilstedeværelsen af ​​GOOTLOADER i .zip-filer, der indeholder ondsindede JS-filer. Når den er udført, dropper JS-filen et andet trins script i mappen %APPDATA%, som forsøger at oprette forbindelse til C2-domæner via forskellige måder, inklusive PowerShell-scripts.

For at sikre vedholdenhed opretter den indledende JS-fil også en registreringsnøgle og en planlagt opgave, der peger på den anden JS-fil. I nogle tilfælde af hændelsesvar blev udførelsen af ​​en COBALTSTRIKE DLL observeret i disse planlagte opgaver. Efter det første fodfæste går trusselsaktøren videre til følgende aktiviteter efter kompromis:

1. Implementering af værktøjssæt: Trusselsaktøren indlæser COBALTSTRIKE modstanders simuleringsramme på den kompromitterede maskine og forsøger at bevæge sig sidelæns via navngivne rør og oprettelse af fjerntjeneste. Derudover udnyttes fjernadgangstrojaneren SYSTEMBC til at opretholde vedvarende adgang ved at bruge SOCKS5-proxyer til at omgå sikkerhedsforanstaltninger.

2. Intern spejder: Efter at have fået adgang, bruger trusselsaktøren værktøjer som Advanced IP Scanner, PSHound.ps1 (en variant af Bloodhound) og Powerview.ps1 (fra PowerSploit) til at opregne slutpunkter og indsamle Active Directory-oplysninger, sandsynligvis med den hensigt at identificere filservere til dataeksfiltrering. Process Hacker kan også bruges til at identificere sikkerhedsværktøjer.

3. Eskalering: Privilegium-eskalering opnås sandsynligvis gennem COBALTSTRIKE- eller PowerSploit-moduler. Flere legitime konti udnyttes derefter til at få adgang til andre slutpunkter og filservere.

4. Lateral Movement: Trusselsaktøren bruger legitime konti og COBALTSTRIKE fjerntjenesteudførelse til at bevæge sig sideværts inden for netværket med det formål at få adgang til følsomme dokumenter.

5. Mission Execution: Automatiserede indsamlingsværktøjer som FileZilla og FreeFileSync bruges til at eksfiltrere følsomme oplysninger til eksterne cloud-lagringssteder. File Transfer Protocol (FTP) kan også bruges til at sende filer til kontrolleret infrastruktur.

Kroll har ikke identificeret nogen tilfælde af ransomware-kryptering, og de er heller ikke stødt på salg eller diskussioner relateret til stjålne data fra GOOTLOADER på DDW. Dette tyder på, at aktiviteten mere sandsynligt er en del af en målrettet spionagekampagne.