GootBot恶意软件：新的命令与控制变种

关键要点

• Gootloader集团推出新变种GootBot，利用SEO劫持实施命令与控制及横向移动。
• GootBot通过看似合法的网站诱使受害者下载恶意文件，随后在企业环境中广泛传播，难以阻止。
• 当前GootBot在VirusTotal上没有任何杀毒软件检测，增加了其隐蔽性。
• Gootloader自2014年活跃，借助SEO劫持和受损的WordPress网站提供初步访问。
• 安全团队应采取多层防护措施应对GootBot等威胁。

Gootloader集团近日开发了一种新的命令与控制（C2）及横向移动变种——GootBot。这种恶意软件已被发现利用搜索引擎优化（SEO）劫持的方法，针对。根据，GootBot会将受害者引导至一些经过入侵的网站，这些网站看起来像合法的论坛，受害者在这里会被欺骗下载初始负载，该负载呈压缩文件形式。研究人员指出，感染后，大量的GootBot植入程序会在企业环境中传播，每个植入程序都包含不同的硬编码C2服务器，这为阻止其传播增加了难度。

截至本文撰写时，GootBot植入程序在VirusTotal上没有任何病毒防护程序的检测，这使得它能够以隐蔽的方式传播。研究人员还提到，Gootloader曾作为初步访问的提供者，成功的感染案例有时会导致勒索软件的传播。

，即X-
Force所追踪的Hive0127（又名），自2014年以来一直活跃并依赖于和受损的WordPress网站来传播Gootloader。这些感染为其他威胁行为者提供了初步访问通道，包括的合作伙伴，相关攻击已导致后续负载的释放，例如、和。

MelissaBischoping，Tanium的终端安全研究主管，解释了SEO劫持如何通过操纵关键字搜索结果将用户引导至恶意负载。Bischoping补充说，大部分安全意识培训都过于关注钓鱼攻击等方法，而忽略了这些类型的攻击。

“人们对搜索结果排名的安全感存在一种误解，还有一种过时的心态，认为地址栏上的锁代表网站是安全的。”
Bischoping表示，“这些战术背后的攻击者正瞄准那些可能不在IT职位的用户，从他们专注于法律、财务或人力资源主题的搜索中可以看出。他们很可能希望这些用户对这些战术不太警觉、缺乏技术意识，甚至更容易相信。”

StrikeReady的首席产品官AnuragGurtu指出，GootBot的重要性体现在其复杂性和演变上。Gurtu表示，GootBot代表了恶意软件传递机制演变的一个高级阶段。与之前的恶意软件不同，Gurtu强调GootBot采用了“隐蔽”的方法以避免检测，并利用社会工程学诱导用户启用其恶意负载。这种演变表明威胁行为者正在不断创新