มัลแวร์ GootLoader ยังคงถูกใช้งานอย่างต่อเนื่อง และมีเวอร์ชันใหม่สำหรับการหลีกเลี่ยงการตรวจจับ

240/67 (IT) ประจำวันจันทร์ที่ 8 กรกฎาคม 2567

มัลแวร์ GootLoader ยังคงถูกใช้งานโดยผู้ที่เป็นภัยคุกคาม เพื่อส่งโหลดที่เป็นอันตรายเพิ่มเติมไปยังโฮสต์ที่ถูกโจมตี บริษัท Cybereason กล่าวในการวิเคราะห์ที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมาว่า “การอัปเดตของโหลด GootLoader ทำให้มีหลายเวอร์ชัน โดย GootLoader 3 กำลังถูกใช้งานอยู่ในปัจจุบัน แม้ว่ารายละเอียดบางอย่างของโหลด GootLoader จะเปลี่ยนไปตามเวลา แต่กลยุทธ์การแพร่กระจายและฟังก์ชันการทำงานโดยรวมยังคงคล้ายคลึงกับในปี 2020”    

GootLoader ซึ่งเป็นโหลดเดอร์ส่วนหนึ่งของโทรจัน Gootkit ถูกเชื่อมโยงกับกลุ่มผู้โจมตีที่ชื่อว่า Hive0127 (หรือ UNC2565) มันใช้ JavaScript ในการดาวน์โหลดเครื่องมือหลังจากการทำ exploitation และถูกแจกจ่ายผ่านกลยุทธ์การปนเปื้อน SEO มันมักจะทำหน้าที่เป็นตัวกลางในการส่งโหลดต่าง ๆ เช่น Cobalt Strike, Gootkit, IcedID, Kronos, REvil, และ SystemBC ในช่วงไม่กี่เดือนที่ผ่านมา กลุ่มผู้เป็นภัยคุกคามที่อยู่เบื้องหลังมัลแวร์ GootLoader ยังได้เปิดตัวเครื่องมือควบคุมและการเคลื่อนไหวในแนวข้าง (lateral movement) ที่ชื่อว่า GootBot ซึ่งบ่งชี้ว่ากลุ่มนี้กำลังขยายตลาดเพื่อเพิ่มฐานกลุ่มเป้าหมายที่กว้างขึ้นเพื่อการหาประโยชน์ทางการเงิน ซึ่งกลยุทธ์การโจมตีจะเริ่มจากการโจมตีเว็บไซต์เพื่อนำโหลด JavaScript ของ GootLoader ไปวาง โดยทำให้มันดูเหมือนเป็นเอกสารและสัญญาทางกฎหมาย เมื่อถูกเปิดใช้งาน มันจะตั้งค่าด้วยการใช้ตารางเวลางาน (scheduled task) และรัน JavaScript เพิ่มเติมเพื่อเริ่มสคริปต์ PowerShell ในการเก็บข้อมูลระบบและรอคำสั่งเพิ่มเติม “เว็บไซต์ที่โฮสต์ไฟล์เหล่านี้ใช้เทคนิคการหลอกลวงทาง SEO เพื่อดึงดูดเหยื่อที่ค้นหาไฟล์ธุรกิจ เช่นเทมเพลตสัญญาหรือเอกสารทางกฎหมาย” การโจมตีดังกล่าวยังมีลักษณะเด่นคือการใช้การเข้ารหัสซอร์สโค้ด การบดบังกระแสควบคุม และการขยายขนาดเพย์โหลดเพื่อต้านทานการวิเคราะห์และการตรวจจับ เทคนิคอีกประการหนึ่งคือการฝังมัลแวร์ในไฟล์ไลบรารี JavaScript ที่ถูกต้อง เช่น jQuery, Lodash, Maplace.js และ tui-chart ทั้งนี้ นักวิจัยกล่าวว่า “GootLoader ได้รับการอัปเดตหลายครั้งตลอดวงจรชีวิตของมัน รวมถึงการเปลี่ยนแปลงในฟังก์ชันการหลีกเลี่ยงและการดำเนินการ”

แหล่งข่าว https://thehackernews.com/2024/07/gootloader-malware-delivers-new.html