بدافزار Gootkit

بدافزار Gootkit از VLC برای آلوده کردن ارگان های مربوط به بهداشت و درمان استفاده می کند.

بدافزار Gootkit از بدافزار Cobalt Strike برای این منظور بهره می برد.

بدافزار Gootkit برای آلوده نمودن از بدافزار *Cobalt Strike استفاده می کند. هدف آن نیز استقرار بدافزار Cobalt Strike پس از آلوده سازی دستگاه و سپس دسترسی به شبکه های سازمان است.

پس از عملیات آلوده سازی، اپراتورهای راه دور که دسترسی را گرفته اند؛ می‌توانند عمیات اسکن در شبکه را انجام دهند و یا به صورت موازی در سراسر شبکه حرکت کنند. اطلاعات حساب کاربری و فایل‌ها را سرقت کنند و ابزارهای خطرناکی مانند باج‌افزار را مستقر کنند.

Gootkit loader که بیشتر با نام Gootloader نیز شناخته می شد، تابستان گذشته و در یک تحقیق مشابه که برای آلودگی نتایج موتورهای جستجو ارائه شد شناسایی گردید.

آلوده کردن نتایج جستجوی گوگل

Gootloader از طریق آلوده کردن نتایج جستجوی Google برای تزریق کد مخرب خود و همچنین هدف قرار دادن ارگان های بهداشت و سلامت استفاده می‌کند.

این حمله در اکتبر 2022 آغاز شد و توانست رتبه بالایی هم در نتایج جستجو برای کلمات کلیدی مرتبط با “بیمارستان”، “سلامت” و “پزشکی” کسب کند.

آلوده سازی سئو تاکتیکی است که مجرمان سایبری از آن استفاده می کنند و پست های زیادی را در بسیاری از سایت های معتبر ایجاد می کنند که شامل لینک هایی به وب سایت های مخرب می باشد.

عنکبوت‌های(Spiders) موتورهای جستجو این سایت‌های قانونی را فهرست می‌کنند و URL آن را مکررا می‌بینند. آنها کلمات خود را برای قراردادن به عنوان کلمات کلیدی مرتبط به نتایج موتور جستجو اضافه می‌کنند. همانطور که در زیر می بینید این عبارات جستجو اغلب در نتایج جستجوی گوگل رتبه بالایی دارند.

نتایج جستجوی مخرب Gootloader

سایت‌هایی که توسط Gootkit آلوده می‌شوند معمولاً وب‌سایت‌های هک‌شده بوسیله اسکریپت‌های جاوا اسکریپت هستند که برای نمایش در فروم های پرسش و پاسخ(Q&A forums) جعلی به بازدیدکننده هایی که از موتورهای جستجو می‌آیند، تزریق می‌شوند.

این فروم های پرسش و پاسخ جعلی حاوی لینک هایی هستند که کاربر بوسیله مطلب جستجو شده ی خود(مانند یک تمپلت یا فایل Word) به آن ها می رسد. در واقع همین لینک ها حاوی بدافزاری هستند که دستگاه های کاربران را آلوده می کند.

فروم پرسش و پاسخ جعلی در وب سایت هک شده

تاکتیک مشابهی به طور گسترده توسط لودرهای بدافزار مانند Batloader و Atera Agent از فوریه 2022 بکار گرفته شد که از آن برای آلوده سازی نتایج جستجو با کلمات کلیدی Zoom، TeamViewer و Visual Studio استفاده می شد.

در آخرین نسخه Gootloader هکرها از یک لینک دانلود مستقیم حاوی فایلZIP  برای آنچه که ظاهراً یک تمپلت ساده مربوط به مراقبت های بهداشتی است استفاده می کنند.

این فایل ZIP شامل اجزای Loader GootKit در قالب یک فایل JS(جاوا اسکریپت) است که هنگام راه اندازی، یک اسکریپت PowerShell را اجرا می کند که برای دانلود بدافزارهای بیشتر در دستگاه اجرا می شود.

آخرین زنجیره حمله Gootloader

در مرحله ی بعد بدافزار “msdtc.exe” ” وlibvlc.dll”  از سرورهای C2 فایل gootloader را دانلود می کنند.

فایل exe حاوی یک نسخه به ظاهر اصلی از VLC Media Player است که به عنوان سرویس هماهنگ کننده تراکنش های توزیع شده مایکروسافت(MSDTC) ظاهر می شود. فایل DLL ی وجود دارد که برای اجرای فایل VLC و پخش ویدیو مورد نیاز است که با یک ماژول Cobalt Strike جایگزین می شود.

هنگامی که فایل VLC اجرا شد، از یک فایل DLL برای دانلود DLL آلوده(در یک فرآیند قابل اعتماد) استفاده می کند.

این امر باعث می شود فایل VLC بتواند دو فایل dllhost.exe و wabmig.exe را که در واقع میزبان Cobalt Strike است را اجرا کند.

فرآیندهای ایجاد شده توسط فایل اجرایی VLC

با استفاده از Cobalt Strike هکرها “pshound.ps1” و “soo.ps1”  را برای مانیتور کردن شبکه دانلود می کنند و همچنین از طریق پورت های 389 ، 445 و 3268 به دستگاه ها متصل می شوند و چند حساب Kerberos را در یک فایل متنی(krb.txt) می ریزند.

بطور کلی می توان گفت که Cobalt Strike پیشرو حملات باج افزار(Ransomware) است.

در حملات هکرهای تحت حمایت دولت چین از آسیب پذیری DLL در VLC Media Player استفاده شده است. این آسیب پذیری باعث شده که VLC در هند مسدود شود. متأسفانه پرهیز از فریب خوردن بوسیله ی نتایج جستجو می تواند سخت باشد.

در نهایت بهترین راه برای جلوگیری از آلودگی، دانلود از منابع معتبر است. نکته مهم دیگر این است که شما باید extension یا پسوند فایل های خود را ببینید و از کلیک بر روی فایل های با پسوندهای خطرناک خودداری کنید.

علاوه بر این توصیه می شود که قبل از اجرای فایل ها یا باز نمودن لینک های مشکوک و یا حتی دانلود فایل ها آن را در وبسایت VirusTotal  بارگذاری و چک نمایید تا رفتار مخرب احتمالی آن را بررسی نمایید.

 

*بدافزار  Cobalt Strike یک نرم‌افزار شبیه‌سازی تجاری است که برای Red teamها عرضه می‌شود و از آن برای سرقت اطلاعات توسط طیف گسترده‌ای از عوامل تهدید سایبری استفاده می شود. از اپراتورهای باج‌افزار گرفته تا تهدیدات دائمی پیشرفته یا Advanced Persistent Threats (APT) که البته اصولا با تمرکز بر جاسوسی اطلاعات مورد استفاده قرار می‌گیرد.