Gootbot, una nueva amenaza para el movimiento lateral
El bot personalizado de la banda Gootloader está diseñado para evitar la detección durante las últimas etapas de la cadena de ataque.
Los creadores de Gootloader, un programa malicioso comúnmente utilizado para implementar ransomware y otras incidencias de malware en las redes corporativas, ha desarrollado una nueva amenaza. Apodada GootBoot, la nueva herramienta de postexplotación está escrita en PowerShell y se envía a otros sistemas de redes comprometidas a través de técnicas de movimiento lateral.
“La introducción por parte del grupo de su propio bot personalizado en las últimas etapas de su cadena de ataque es un intento de evitar detecciones”, según los investigadores de IBM X-Force. “Esta nueva variante es un malware ligero pero efectivo que permite a los atacantes propagarse rápidamente por toda la red y desplegar más cargas útiles”.
El grupo Gootloader lleva operando muchos años, inicialmente mediante el desarrollo y difusión de un troyano llamado Gootkit que se centraba en robar credenciales bancarias en línea. Gootloader es el componente de primera etapa del grupo, o cargador de malware, que se ha usado para implementar Gootkit en los sistemas infectados.
Igual que Trickbot y otros creadores de troyanos bancarios, los desarrolladores de Gootkit se han unido al lucrativo ecosistema de ransomware y han pasado de robar y vender contraseñas a la implementación bajo demanda de cargas útiles maliciosas para otros ciberdelincuentes. Por ejemplo, ha tenido una notable asociación con la ya extinta banda REvil.
Como proveedor de servicios de acceso inicial, el componente Gootloader se volvió mucho más importante para las operaciones del grupo que el propio troyano Gootkit, por lo que el grupo comenzó a implementar otros implantes de segunda etapa como Cobalt Strike, una herramienta comercial de pruebas de penetración, que le proporcionaría acceso persistente a sistemas comprometidos y capacidades de comando y control (C2).
Los cargadores de malware de primera etapa, como Gootloader, suelen ser programas o scripts ligeros cuyo objetivo es recopilar información básica sobre los sistemas y descargar cargas útiles secundarias de ubicaciones codificadas e implementarlas. No tienen capacidades avanzadas como mecanismos C2 avanzados que permiten la comunicación de ida y vuelta con los atacantes y la ejecución de comandos bajo demanda.
Gootloader está escrito en JavaScript y se distribuye a través de campañas de optimización de motores de búsqueda de sombrero negro (BHSEO) que implican el uso de sitios web comprometidos para inyectar resultados fraudulentos en los motores de búsqueda. Las campañas de envenenamiento de resultados de búsqueda de Gootloader generalmente se dirigen a palabras clave para documentos comerciales específicos de diferentes industrias.
"Hive0127 generalmente se dirige a búsquedas en línea de contratos, formularios legales u otros documentos relacionados con los negocios; por ejemplo: '¿Es lo mismo una declaración de cierre que un gran contrato?'", explican los investigadores de X-Force. A los objetivos se les sirve un sitio web comprometido modificado para aparecer como un foro legítimo en la parte superior de la página de resultados del motor de búsqueda envenenado. Dentro de la conversación del foro, se engaña a los objetivos para que descarguen un archivo comprimido relacionado con sus términos de búsqueda iniciales, pero que en realidad contiene Gootloader".
De Gootloader a GootBot
Tras la ejecución, Gootloader coloca un archivo JavaScript malicioso en una carpeta existente desde el directorio %APPDATA% y configura una tarea programada para garantizar su ejecución persistente en el reinicio. A continuación, el archivo JavaScript ejecuta un script de PowerShell que recopila información básica sobre el sistema y la carga en diez URL codificadas, normalmente sitios web de WordPress comprometidos. El script también busca en un bucle cargas adicionales de PowerShell para descargar y ejecutar desde esos servidores.
En campañas pasadas, esta es la etapa en la que los atacantes desplegaron Cobalt Strike u otras cargas útiles más avanzadas. Sin embargo, los investigadores de X-Force observaron recientemente una nueva carga útil en forma de un script de PowerShell ofuscado que se comunica con un solo servidor C2 y espera a que se ejecuten tareas adicionales. Llamaron a esta carga útil GootBot ya que es una variante más liviana del propio Gootloader.
"Como respuesta, GootBot espera una cadena que consiste en una carga útil codificada en Base64, y los últimos ocho caracteres son el nombre de la tarea", dijeron los investigadores. "A continuación, decodifica la carga útil y la inyecta en un bloque de script simple antes de ejecutarla en un nuevo trabajo en segundo plano utilizando el cmdlet 'Start-Job'. Esto permite que la carga útil de PowerShell se ejecute de forma asincrónica y sin crear un proceso secundario, lo que podría dar lugar a menos detecciones de EDR".
Lo que hace diferente a GootBot es que no solo se implementa en el sistema donde se ejecutó Gootloader por primera vez, sino también en otros sistemas de la misma red. Las cargas que recibe GootBot son scripts de PowerShell que se usan para el movimiento lateral que enumeran los sistemas de red y el dominio y exfiltran las credenciales mediante el volcado de la memoria del proceso LSASS, así como subárboles del Registro como SAM, SYSTEM y SECURITY.
Estas credenciales se usan para insertar nuevas instancias de GootBot en otros sistemas de la red mediante una variedad de técnicas, como WinRM en PowerShell, la interfaz de Instrumental de administración de Windows (WMI) o el cmdlet Invoke-Command. También se ha observado la copia de cargas útiles a través de llamadas SMB y WinAPI a SCM (Service Control Manager) para crear servicios remotos y tareas programadas.
Cada nueva instancia de GootBot tiene un servidor C2 único definido y el script en sí tiene una tasa de detección muy baja. La tasa de detección era cero en el escáner antivirus multimotor VirusTotal cuando X-Force se encontró con la nueva carga útil.
"Este es un malware altamente efectivo que permite a los atacantes moverse lateralmente a través del entorno con facilidad y velocidad y extender sus ataques", dijeron los investigadores. "Además, el uso de Hive 0127 de grandes grupos de dominios de WordPress comprometidos hace que sea cada vez más difícil para los defensores bloquear el tráfico malicioso".
