佯称提供法律文件范本散布恶意程式的攻击手法,过往已被用于攻击行动,如今仍然有人以几乎相同的手法从事攻击行动,甚至打算号召更多打手,突显这种已知攻击手法还是必须提高警觉。
资安业者Cybereason揭露究竟攻击者的动机是什么?研究人员表示仍无法确定,不过对于骇客散布多种恶意程式的情况,他们认为与经济利益有关,这些骇客可能向其他组织提供GootLoader。此外,UNC2565也开发新的横向移动工具GootBot,他们研判对方是为了扩大使用GootLoader的范围。
GootLoader如何用于攻击行动?研究人员指出骇客通常会先入侵网站,并植入含有GootLoader的JavaScript恶意酬载,并使用搜寻引擎最佳化中毒的手法,锁定想要寻找法律文件范本的企业使用者下手。
一旦使用者依照指示从网站下载JavaScript档案,电脑就会启动感染链。研究人员指出,上述攻击途径与他们2020年看到的几乎一样,代表骇客认可这种偷渡式下载(Drive-by Download)的入侵手法。
攻击者借由Windows内建的处理程序wscript执行第一阶段的有效酬载,该恶意程式将第二阶段的作案工具储存于磁碟,并设置工作排程执行。
特别的是,虽然对方也是利用wscript启动第二阶段的有效酬载,但他们会将其移转到另一个执行cscript的子处理程序。接著cscript会产生另一个PowerShell处理程序,并解开经过混淆处理的PowerShell指令码,进行C2通讯。
到了第三个阶段,GootLoader有效酬载透过PowerShell收集受害电脑的系统资讯,包含作业系统版本、正在执行的处理程序、环境变数、所属网域资讯,以及磁碟使用情形。
研究人员指出,有别于1.0版及2.0版GootLoader骇客利用PowerShell反射手法载入、执行以.NET打造的DLL恶意程式,新版GootLoader则是利用PowerShell进行侦察,并充当后门程式,以便执行攻击者下达的命令,或是下载其他恶意软体。