Ngày 09 tháng 2 năm 2023Ravie Lakshmanan Thông tin tình báo về mối đe dọa / Phần mềm độc hại
Theo những phát hiện mới từ Cybereason, phần mềm độc hại Gootkit đang nhắm đến các tổ chức tài chính và chăm sóc sức khỏe ở Mỹ, Anh và Úc.
Công ty an ninh mạng cho biết họ đã điều tra một sự cố Gootkit vào tháng 12 năm 2022. Sự cố này đã áp dụng một phương pháp triển khai mới, trong đó các đối tượng lợi dụng chỗ đứng để cung cấp Cobalt Strike và SystemBC để hậu khai thác.
Cybereason cho biết trong một phân tích được công bố vào ngày 8 tháng 2 năm 2023: “Kẻ đe dọa đã thể hiện các hành vi di chuyển nhanh, nhanh chóng hướng tới việc kiểm soát mạng mà nó lây nhiễm và nhận được các đặc quyền cao hơn trong vòng chưa đầy 4 giờ”.
Gootkit, còn được gọi là Gootloader, được gán riêng cho một tác nhân đe dọa được Mandiant theo dõi là UNC2565. Bắt đầu hoạt động vào năm 2014 với tư cách là một trojan ngân hàng, phần mềm độc hại này kể từ đó đã biến thành một trình tải có khả năng phân phối tải trọng giai đoạn tiếp theo.
Sự thay đổi trong chiến thuật lần đầu tiên được Sophos phát hiện vào tháng 3 năm 2021. Gootloader có dạng tệp javascript bị xáo trộn nặng nề được phân phát qua các trang web WordPress bị xâm phạm được xếp hạng cao hơn trong kết quả của công cụ tìm kiếm thông qua các kỹ thuật đầu độc.
Chuỗi tấn công dựa vào việc dụ các nạn nhân đang tìm kiếm các thỏa thuận và hợp đồng trên DuckDuckGo và Google đến trang web bị bẫy, cuối cùng dẫn đến việc triển khai Gootloader.
Làn sóng mới nhất cũng đáng chú ý vì che giấu mã độc hại trong các thư viện JavaScript hợp pháp như jQuery, Chroma.js, Sizzle.js và Underscore.js, mã này sau đó được sử dụng để sinh ra một tải trọng JavaScript 40 MB thứ cấp nhằm thiết lập tính bền vững và khởi chạy mã độc. phần mềm độc hại.
Trong vụ việc được Cybereason kiểm tra, việc lây nhiễm Gootloader được cho là đã mở đường cho Cobalt Strike và SystemBC thực hiện chuyển động ngang và khả năng đánh cắp dữ liệu. Cuộc tấn công cuối cùng đã bị thất bại.
Tiết lộ được đưa ra trong bối cảnh các nhà khai thác phần mềm độc hại đang có xu hướng lạm dụng Google Ads như một phương tiện xâm nhập để phân phối nhiều loại phần mềm độc hại như FormBook, IcedID, RedLine, Rhadamanthys và Vidar.
Quá trình phát triển của Gootloader thành một trình tải tinh vi phản ánh rõ hơn về cách các tác nhân đe dọa liên tục tìm kiếm các mục tiêu và phương pháp mới để tối đa hóa lợi nhuận của chúng bằng cách chuyển sang mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS) và bán quyền truy cập đó cho những tên tội phạm khác.
