Niektóre grupy cyberprzestępcze takie jak gangi ransomware, operatorzy botnetów i oszuści zajmujący się oszustwami finansowymi, zwracają szczególną uwagę na swoje ataki i operacje. Ale większy ekosystem, który leży u podstaw przestępczości cyfrowej, obejmuje szereg podmiotów i złośliwych organizacji, które zasadniczo sprzedają usługi wsparcia tym przestępczym klientom. Dziś badacze z firmy zajmującej się bezpieczeństwem eSentire ujawniają swoje metody zakłócania działalności jednego z długoletnich przedsiębiorstw przestępczych, które narażają firmy i inne organizacje, a następnie sprzedaje dostęp cyfrowy innym atakującym.
Złośliwe oprogramowanie Gootloader i stojący za nim przestępcy, znane jako operacja początkowego dostępu jako usługi, od lat kompromitują i oszukują. Gang Gootloader infekuje organizacje ofiar, a następnie sprzedaje dostęp w celu dostarczenia preferowanego przez klienta złośliwego oprogramowania do zaatakowanej sieci docelowej, niezależnie od tego, czy jest to oprogramowanie ransomware, mechanizmy eksfiltracji danych, czy inne narzędzia do głębszego skompromitowania celu. Na przykład, śledząc dane strony Gootloader, badacze eSentire zebrali dowody na to, że cieszący się złą sławą rosyjski gang ransomware REvil regularnie współpracował z Gootloader w latach 2019-2022, aby uzyskać wstępny dostęp do ofiar – związek, który zauważyli również inni badacze.
Joe Stewart, główny badacz bezpieczeństwa eSentire i starszy badacz zagrożeń Keegan Keplinger zaprojektowali robota sieciowego do śledzenia aktywnych stron internetowych Gootloader i wcześniej zainfekowanych witryn. Obecnie obaj widzą około 178 000 aktywnych stron internetowych Gootloader i ponad 100 000 stron, które w przeszłości były zainfekowane Gootloaderem. W retrospektywnym poradniku z zeszłego roku Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych ostrzegła, że Gootloader był jednym z najpopularniejszych szczepów złośliwego oprogramowania w 2021 roku, obok 10 innych.
Śledząc aktywność i operacje Gootloadera w czasie, Stewart i Keplinger zidentyfikowali charakterystykę sposobu, w jaki Gootloader zaciera swoje ślady i próbuje uniknąć wykrycia, które obrońcy mogą wykorzystać do ochrony sieci przed infekcją.
„Zagłębiając się w sposób działania systemu Gootloader i złośliwego oprogramowania, można znaleźć wszystkie te małe możliwości wpłynięcia na ich działalność” — mówi Stewart. „Kiedy zwracasz moją uwagę, dostaję obsesji na punkcie różnych rzeczy, a jako autor złośliwego oprogramowania nie chcesz, aby badacze całkowicie zagłębili się w twoje operacje”.
Co z oczu to z serca
Gootloader wyewoluował z bankowego trojana znanego jako Gootkit, który infekował cele głównie w Europie już od 2010 roku. Gootkit był zazwyczaj dystrybuowany za pośrednictwem wiadomości e-mail phishingowych lub zainfekowanych stron internetowych i został zaprojektowany w celu kradzieży informacji finansowych, takich jak dane kart kredytowych i dane logowania do kont bankowych. Jednak w wyniku działań rozpoczętych w 2020 r. badacze śledzą Gootloader oddzielnie, ponieważ mechanizm dostarczania złośliwego oprogramowania jest coraz częściej wykorzystywany do dystrybucji szeregu przestępczych programów, w tym oprogramowania szpiegującego i ransomware.
Operator Gootloader jest znany z dystrybucji odsyłaczy do zainfekowanych dokumentów, w szczególności szablonów i innych ogólnych formularzy. Kiedy cele klikają łącza, aby pobrać te dokumenty, nieumyślnie infekują się złośliwym oprogramowaniem Gootloader. Aby skłonić cele do zainicjowania pobierania, osoby atakujące stosują taktykę znaną jako zatruwanie optymalizacji pod kątem wyszukiwarek w celu narażenia na szwank legalnych blogów, zwłaszcza blogów WordPress, a następnie po cichu dodają do nich treści, które zawierają złośliwe łącza do dokumentów.
Gootloader jest przeznaczony do sprawdzania połączeń ze skażonymi postami na blogu pod kątem wielu cech. Na przykład, jeśli ktoś jest zalogowany na zainfekowanym blogu WordPress, niezależnie od tego, czy ma uprawnienia administratora, czy nie, zostanie zablokowany dostęp do postów na blogu zawierających złośliwe linki. A Gootloader posuwa się nawet do trwałego blokowania adresów IP, które są liczbowo zbliżone do adresu zalogowanego na odpowiednim koncie WordPress. Chodzi o to, aby inne osoby w tej samej organizacji nie widziały złośliwych postów.
