Търсене
Close this search box.

Gootloader насочва персонализирана армия от ботове към корпоративните мрежи

Групата Gootloader, известна досега само като брокер на първоначален достъп (IAB) и оператор на зловреден софтуер, пусна нов разрушителен инструмент след компрометиране – GootBot, който разпространява ботове в корпоративните среди след компрометиране.

Gootloader (проследяван също под Hive0127 и UNC2565) е активен от 2014 г. и използва SEO отравяне, за да заблуди жертвите да изтеглят заразени шаблони за бизнес документи – договори и формуляри – за първоначално компрометиране, твърдят изследователи от групата за разузнаване на заплахи IBM X-Force в нова консултация.

Обикновено Gootloader след това посредничи за предоставяне на този достъп на други групи за заплахи, които използват инструменти като CobaltStrike или Remote Desktop Protocl (RDP), за да се разпространят в цялата мрежа, обясняват изследователите. Но новият инструмент, който групата е започнала да използва, е много по-разрушителният зловреден софтуер GootBot post-compromise, който след първоначалното компрометиране на Gootloader разгръща много трудна за откриване армия от ботове.

Групата IBM X-Force обясни, че е тревожно, че всеки бот се контролира от собствен сървър за командване и управление (C2), работещ на пробит сайт на WordPress. След като бъдат разгърнати, ботовете започват да търсят контролер на домейна.

Още по-лошо е, че към 6 ноември GootBot няма никакви открития в списъка на VirusTotal, допълват изследователите.

„Тази промяна в TTP и инструментариума повишава риска от успешни етапи след експлоатирането, като например свързана с Gootloader партньорска дейност за изнудване“, се предупреждава в доклада.

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!