Обнаружен новый вариант ВПО Gootkit с обновлёнными инструментами

• 30 января, 2023
• 23:30

Исследователи кибербезопасности из ИБ-компании Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant обнаружили , что операторы Gootkit, внесли «заметные изменения» в свой набор инструментов, добавив новые компоненты и средства обфускации в свои цепочки заражения. Mandiant отслеживает кластер угроз под псевдонимом UNC2565.

Gootkit (Gootloader) распространяется через скомпрометированные веб-сайты, на которые жертвы попадают при поиске деловых документов (соглашения, контракты и т.д.) с помощью метода отравления SEO (SEO poisoning (отравление поисковой выдачи) —  добавление на скомпрометированные сайты слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря этому вредоносные сайты могут увидеть больше потенциальных жертв.

» data-html=»true» data-original-title=»SEO poisoning»>SEO poisoning).

Документы выдают себя за ZIP-архивы, содержащие вредоносный код JavaScript — это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.

» data-html=»true» data-original-title=»JavaScript»>JavaScript, который при запуске открывает путь для дополнительных полезных нагрузок – Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike Beacon, FONELAUNCH и SNOWCONE.

• FONELAUNCH — это загрузчик на основе .NET, предназначенный для загрузки закодированных полезных нагрузок в память;
• SNOWCONE — это загрузчик, который извлекает полезную нагрузку следующего этапа (обычно Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян, но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям.

  IcedID доставляется через фишинговые электронные письма в ISO-файлах, архивах или вложениях документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером и доставляет дополнительные полезные нагрузки.

» data-html=»true» data-original-title=»IcedID»>IcedID) через HTTP.

Цепочка атак GOOTLOADER.POWERSHELL

В то время как общие цели Gootkit остались неизменными, сама последовательность атак претерпела значительные изменения – теперь файл JavaScript в ZIP-архиве троянизирован и содержит в себе обфусцированный код JavaScript, который и выполняет вредоносное ПО.

Новый вариант, обнаруженный в ноябре 2022 года, отслеживается как GOOTLOADER.POWERSHELL. Стоит отметить, что обновленная цепочка заражения также была задокументирована Trend Micro ранее в этом месяце в ходе атак Gootkit на сектор здравоохранения Австралии.

Более того, авторы вредоносного ПО использовали метод избегания обнаружения, используя сокрытие кода в измененных версиях легитимных библиотек JavaScript – jQuery, Chroma.js и Underscore.js.

3 разных варианта Gootkit – FONELAUNCH (FONELAUNCH.FAX), FONELAUNCH.PHONE и FONELAUNCH.DIALTONE — используются UNC2565 с мая 2021 года для выполнения DLL-библиотек, двоичных NET-файлов и PE-файлов, что указывает на то, что арсенал вредоносных программ постоянно поддерживается и обновляется. Эти изменения свидетельствуют об активном развитии и росте возможностей UNC2565.