详细内容或原文请订阅后点击阅览
GootLoader 仍然活跃且高效
研究人员警告称,恶意软件 GootLoader 仍然活跃,威胁行为者仍在其活动中使用它。Cybereason 研究人员警告称,威胁行为者继续在其活动中使用 GootLoader 恶意软件。该恶意软件已经演变,产生了多个版本,目前正在使用 GootLoader 3。尽管对有效载荷进行了更新,但感染策略和整体 […]
来源:Security Affairs _恶意软件GootLoader 仍然活跃且高效
GootLoader 仍然活跃且高效
研究人员警告称,恶意软件 GootLoader 仍然活跃,威胁行为者仍在其活动中使用它。
Cybereason 研究人员警告称,威胁行为者继续在其活动中使用 GootLoader 恶意软件。该恶意软件已经进化,产生了多个版本,目前正在使用 GootLoader 3。尽管有效载荷进行了更新,但自 2020 年恶意软件复苏以来,感染策略和整体功能基本保持一致。
GootLoader 恶意软件GootLoader 在“访问即服务”模型上运行,不同的团体使用它在受感染的系统上投放额外的恶意负载。据悉,GootLoader 使用无文件技术来传播诸如 SunCrypt、REvil (Sodinokibi) 勒索软件、Kronos 木马和 Cobalt Strike 等威胁。过去,GootLoader 会伪装成免费软件安装程序来传播恶意软件,并使用法律文档诱骗用户下载这些文件。
SunCrypt REvil KronosGootLoader 是 GootKit 恶意软件家族的一部分,该家族自 2014 年以来一直活跃。Mandiant 追踪到 GootKit 背后的威胁行为者为 UNC2565。
GootKit UNC2565攻击链始于用户在搜索引擎中搜索特定信息。攻击者使用黑帽SEO技术,在结果中显示一个被GootLoader操作员破坏的网站。
访问该网站后,受害者会注意到该网站以在线论坛的形式呈现,直接回答他的查询。该论坛托管了一个ZIP存档,其中包含恶意.js文件,该文件用于建立持久性并在受感染系统的内存中放置Cobalt Strike二进制文件。
第二阶段开始使用脚本执行,然后转移到cscript进程。 cscript实例生成PowerShell,PowerShell进行反混淆并执行脚本,该脚本开始发现活动并与C2服务器通信。
Pierluigi Paganini
Pierluigi Paganini Pierluigi Paganini ( –