[07/11/2023] Los creadores de Gootloader, un programa malicioso utilizado habitualmente para desplegar ransomware y otras amenazas de malware en redes empresariales, han desarrollado un nuevo implante de segunda fase. Denominada GootBot, la nueva herramienta de post-explotación está escrita en PowerShell y se introduce en otros sistemas de redes comprometidas mediante técnicas de movimiento lateral.
"La introducción por parte del grupo Gootloader de su propio bot personalizado en las últimas fases de su cadena de ataque es un intento de evitar detecciones cuando se utilizan herramientas estándar de C2 [mando y control] como CobaltStrike o RDP", afirmaron los investigadores de IBM X-Force en un nuevo informe. "Esta nueva variante es un malware ligero pero eficaz que permite a los atacantes propagarse rápidamente por la red y desplegar más cargas útiles".
Acceso inicial y post-explotación
El grupo Gootloader, rastreado como Hive0127 por X-Force o UNC2565 por Mandiant, ha operado durante muchos años, inicialmente desarrollando y difundiendo un programa troyano llamado Gootkit que se centraba en el robo de credenciales bancarias online. Gootloader es el componente de primera fase del grupo -o cargador de malware- que se utilizaba para desplegar Gootkit en los sistemas infectados.
Al igual que TrickBot y otros creadores de troyanos bancarios, los desarrolladores de Gootkit se unieron al lucrativo ecosistema del ransomware hace varios años, y pasaron del robo y venta de credenciales bancarias online al despliegue bajo demanda de cargas maliciosas para otros ciberdelincuentes. Por ejemplo, el grupo Gootloader tenía una notable asociación con la ya desaparecida banda de ransomware REvil.
Como proveedor de servicios de acceso inicial, el componente Gootloader se convirtió en mucho más importante para las operaciones del grupo que el propio troyano Gootkit, por lo que el grupo comenzó a desplegar otros implantes de segunda etapa como Cobalt Strike, una herramienta comercial de pruebas de penetración, que le proporcionaría acceso persistente a los sistemas comprometidos y capacidades de mando y control (C2).
Los cargadores de malware de primera fase, como Gootloader, suelen ser programas o scripts ligeros cuyo objetivo es recopilar información básica sobre los sistemas y descargar cargas útiles secundarias desde ubicaciones codificadas e instalarlas. No disponen de capacidades avanzadas, como mecanismos C2 avanzados que permitan la comunicación de ida y vuelta con los atacantes y la ejecución de comandos bajo demanda.
Gootloader está escrito en JavaScript y se distribuye a través de campañas de optimización de motores de búsqueda de sombrero negro (BHSEO) que implican el uso de sitios web comprometidos para inyectar resultados falsos en los motores de búsqueda. Las campañas de envenenamiento de resultados de búsqueda de Gootloader suelen dirigirse a palabras clave de documentos empresariales específicos de distintos sectores.
Hive0127 suele dirigirse a búsquedas en línea de contratos, formularios legales u otros documentos relacionados con la empresa; por ejemplo: "¿Es lo mismo una declaración de cierre que un gran contrato?", explican los investigadores de X-Force. "A los objetivos se les sirve un sitio web comprometido modificado para que aparezca como un foro legítimo en la parte superior de la página de resultados del motor de búsqueda envenenado. Dentro de la conversación del foro, se engaña a los objetivos para que descarguen un archivo relacionado con sus términos de búsqueda iniciales, pero que en realidad contiene Gootloader".
De Gootloader a GootBot
Una vez ejecutado, Gootloader coloca un archivo JavaScript malicioso en una carpeta existente del directorio %APPDATA%, y configura una tarea programada para garantizar su ejecución persistente al reiniciar el sistema. A continuación, el archivo JavaScript ejecuta un script PowerShell que recopila información básica sobre el sistema y la carga en diez URL codificadas, normalmente sitios web WordPress comprometidos. El script también busca en un bucle cargas útiles PowerShell adicionales para descargarlas y ejecutarlas desde esos servidores.
En campañas anteriores, esta es la fase en la que los atacantes desplegaban Cobalt Strike u otras cargas útiles más avanzadas. Sin embargo, los investigadores de X-Force observaron recientemente una nueva carga útil en forma de script PowerShell ofuscado que llega a un único servidor C2 y espera a que se ejecuten tareas adicionales. Llamaron a esta carga útil GootBot, ya que es una variante más ligera del propio Gootloader.
"Como respuesta, GootBot espera una cadena formada por una carga útil codificada en Base64, siendo los últimos ocho caracteres el nombre de la tarea", explicaron los investigadores. "A continuación, decodifica la carga útil y la inyecta en un simple bloque de script antes de ejecutarlo en un nuevo trabajo en segundo plano utilizando el cmdlet 'Start-Job'. Esto permite que la carga útil PowerShell se ejecute de forma asíncrona y sin crear un proceso hijo, lo que potencialmente resulta en menos detecciones EDR".
Lo que diferencia a GootBot es que no sólo se despliega en el sistema donde se ejecutó Gootloader por primera vez, sino también en otros sistemas de la misma red. Las cargas útiles que recibe GootBot son scripts de PowerShell utilizados para el movimiento lateral que enumeran los sistemas de red y el dominio y extraen credenciales mediante el volcado de la memoria del proceso LSASS, así como de archivos de registro como SAM, SYSTEM y SECURITY.
A continuación, estas credenciales se utilizan para enviar nuevas instancias de GootBot a otros sistemas de la red mediante diversas técnicas, como WinRM en PowerShell, la interfaz Windows Management Instrumentation (WMI) o el cmdlet Invoke-Command. También se ha observado la copia de cargas útiles a través de SMB y llamadas WinAPI a SCM (Service Control Manager) para crear servicios remotos y tareas programadas.
Cada nueva instancia de GootBot tiene definido un único servidor C2 y el propio script tiene una tasa de detección muy baja. La tasa de detección era cero en el escáner antivirus multimotor VirusTotal cuando X-Force se topó con la nueva carga útil.
"Se trata de un malware muy eficaz que permite a los atacantes moverse lateralmente por el entorno con facilidad y rapidez y ampliar sus ataques", afirmaron los investigadores. "Además, el uso que hace Hive 0127 de grandes grupos de dominios de WordPress comprometidos hace que sea cada vez más difícil para los defensores bloquear el tráfico malicioso".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú