内容摘要：一种名为 GootBot 的 GootLoader 恶意软件新变种已被发现，它能在被入侵系统上进行横向移动并逃避检测。IBM X-Force 研究人员 Golo Mühr 和 Ole Villadse

一种名为 GootBot 的新型 GootLoader 恶意软件新变种已被发现 ，它能在被入侵系统上进行横向移动并逃避检测 。恶意

IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说：GootLoader 组织在其攻击链的软件后期阶段引入了自己定制的机器人，试图在使用 CobaltStrike 或 RDP 等现成的变种并迅播 C2 工具时逃避检测。

这种新变种是逃避一种轻量级但有效的恶意软件  ，允许攻击者在整个网络中快速传播并部署更多的检测有效载荷 。香港云服务器

顾名思义 ，速传GootLoader 是新型一种恶意软件
 ，能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意恶意软件 。它与一个名为 Hive0127（又名 UNC2565）的软件威胁行为者有关 。

GootBot 的变种并迅播使用表明了一种战术转变 ，即在 Gootloader 感染后作为有效载荷下载植入程序 ，逃避而不是检测使用 CobaltStrike 等后开发框架 。高防服务器

GootBot 是速传一个经过混淆的 PowerShell 脚本，其目的新型是连接到被入侵的 WordPress 网站进行命令和控制，并接收进一步的命令
。

使问题更加复杂的是，源码库每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器
，因此很难阻止恶意流量。

GootLoader 恶意软件

研究人员说：目前观察到的活动利用病毒化的搜索合同  、法律表格或其他商业相关文件等主题，将受害者引向设计成合法论坛的受攻击网站 ，诱使他们下载带有病毒的文件
、源码下载文档。

存档文件包含一个混淆的JavaScript文件，执行后会获取另一个JavaScript文件，该文件通过计划任务触发以实现持久性  。

在第二阶段
，JavaScript被设计为运行一个PowerShell脚本，用于收集系统信息并将其渗入远程服务器，而远程服务器则会响应一个无限循环运行的PowerShell脚本 ，并允许威胁行为者分发各种有效载荷。

其中包括 GootBot，亿华云它每 60 秒向其 C2 服务器发出信标 ，获取 PowerShell 任务以供执行 ，并以 HTTP POST 请求的形式将执行结果传回服务器 。

GootBot 的其他一些功能包括侦察和在环境中进行横向移动，从而有效地扩大了攻击规模 。

研究人员说
：Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的模板下载风险 ，例如与GootLoader链接的勒索软件附属活动。

参考链接：https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html