Daha önce yalnızca ilk erişim aracısı (IAB) ve kötü amaçlı yazılım operatörü olarak bilinen Gootloader Grubu, bir uzlaşmanın ardından botları kurumsal ortamlara yayan, yıkıcı yeni bir uzlaşma sonrası aracı olan GootBot’u kullanıma sundu.
IBM X-Force tehdit istihbaratı grubundaki araştırmacılar yeni bir danışma belgesinde, Gootloader’ın (aynı zamanda Hive0127 ve UNC2565 altında da izleniyor) 2014’ten bu yana aktif olduğunu ve kurbanları ilk uzlaşma için virüslü iş belgesi şablonlarını (sözleşmeler ve formlar) indirmeye kandırmak için SEO zehirlemesini kullandığını söyledi .
Araştırmacılar, genellikle Gootloader’ın bu erişimi CobaltStrike veya Remote Desktop Protocl (RDP) gibi araçları kullanarak ağ geneline yayılacak diğer tehdit gruplarına aktaracağını açıkladı. Ancak grubun uygulamaya başladığı yeni bir araç, çok daha yıkıcı GootBot uzlaşma sonrası kötü amaçlı yazılımdır; Gootloader’ın ilk güvenliğinin ardından, tespit edilmesi çok zor bir bot ordusunu devreye sokar.
IBM X-Force grubu endişe verici bir şekilde her botun, ihlal edilen bir WordPress sitesinde çalışan kendi komuta ve kontrol sunucusu (C2) tarafından kontrol edildiğini açıkladı. Botlar konuşlandırıldıktan sonra bir etki alanı denetleyicisi aramaya başlar.
Daha da kötüsü, araştırmacılar GootBot’un 6 Kasım itibarıyla VirusTotal’da herhangi bir tespitinin listelenmediğini ekledi.
“Raporda, TTP’lerdeki ve araçlardaki bu değişim, Gootloader bağlantılı fidye yazılımı ortaklık faaliyetleri gibi istismar sonrası başarılı aşamaların riskini artırıyor” uyarısı yapıldı.