GootLoader, управляемый хакерской группировкой UNC2565 (также известной как Storm-0494), вновь замечен в активных кампаниях с улучшенными методами обхода защиты и закрепления. Загрузчик выступает центральным компонентом платформы Access-as-a-Service, облегчая первоначальный доступ для партнеров‑филиалов, в том числе связанных с наборами вредоносных группировок типа Vanilla Tempest.
Ключевые особенности кампании
- Атаки ориентированы на пользователей, ищущих шаблоны бизнес‑документов, с использованием техники SEO poisoning (agesoages) для привлечения трафика на компрометированные ресурсы.
- Применяется необычный «ZIP‑архив с раздвоением личности», который намеренно вводит в заблуждение песочницы безопасности и выглядит безвредным при извлечении для рядового пользователя.
- При извлечении получается вредоносный .js-файл, исполнение которого обычно происходит двойным щелчком (JScript), далее через Windows Script Host — WScript.exe или CScript.exe, после чего вызывается PowerShell для загрузки последующих полезных нагрузок.
- Кампания не эксплуатирует конкретные CVE: вместо этого злоумышленники полагаются на тактики социальной инженерии, несоответствия формата архива, скомпрометированные легитимные сайты WordPress и устаревшее поведение обработки имен файлов.
Механизмы закрепления и обхода обнаружения
Инфраструктура GootLoader существенно эволюционировала: злоумышленники отказались от некоторых старых методов (например, широкого использования запланированных задач) и отдали предпочтение закреплению в пользовательской папке автозагрузки. Для сокрытия присутствия используется соглашение о сокращенных именах 8.3, что усложняет обнаружение стандартными средствами.
Типичный путь закрепления выглядит следующим образом: %APPDATA%MicrosoftWindowsStart MenuProgramsStartup — в этой папке создаётся файл‑якорь с 8.3 именованием, который запускает цепочку выполнения при входе пользователя в систему.
«GootLoader не использует никаких конкретных уязвимостей CVE» — акцент на том, что атакующие полагаются на обходы и эксплуатации поведения систем, а не на публично известные уязвимости.
Сетевое поведение и телеметрия
- Связь с управляющей инфраструктурой осуществляется через компрометированные сайты WordPress, часто с легитимными SSL‑сертификатами, что дополнительно затрудняет блокировку.
- Вредоносный агент осуществляет beaconing примерно каждые 300–900 секунд, обмениваясь небольшими зашифрованными фрагментами данных с C2.
Рекомендации по смягчению последствий
Для снижения риска компрометации и распространения рекомендуется реализовать следующий набор мер:
- Отключить или строго ограничить использование Windows Script Host (WScript.exe, CScript.exe) для конечных пользователей, где это возможно.
- Внедрить и настроить правила уменьшения поверхности атаки (ASR) в продуктах Microsoft Defender и аналогичных решениях.
- Включить и жестко контролировать защиты для PowerShell: включить журналирование, ограничить выполнение скриптов, использовать Constrained Language Mode и блокирование подозрительных командлетов.
- Обучать сотрудников не загружать документы и шаблоны по результатам публичного поиска; сформировать внутренние политики безопасного поиска и использования шаблонов.
- Мониторить активность в папке автозагрузки пользователей, обращать внимание на файлы с 8.3 именованием и неожиданные исполняемые компоненты.
- Блокировать и проводить форензик по сетевым соединениям к известным скомпрометированным сайтам WordPress и подозрительным доменам.
Индикаторы компрометации (IOC)
- Наличие файлов‑якорей в %APPDATA%MicrosoftWindowsStart MenuProgramsStartup с 8.3 именами;
- Исполнения JScript файлов (.js) через WScript.exe / CScript.exe с последующими вызовами PowerShell;
- Сетевые обращения к скомпрометированным сайтам WordPress, часто под защищёнными SSL;
- Периодические зашифрованные beacon‑сообщения с интервалом ~300–900 секунд.
Общая оценка угрозы
Угроза со стороны GootLoader остаётся повышенной. Комбинация эффективных методов SEO‑отравления, хитроумных архивов с раздвоением личности, отказа от эксплойтов в пользу социальной инженерии и усовершенствованных механизмов закрепления делает кампанию устойчивой и сложной для детектирования. Организациям следует рассматривать GootLoader как активную и адаптирующуюся угрозу и ускорить внедрение рекомендованных мер защиты.
Если требуется, могу подготовить список IOC в формате для SIEM/EDR или краткий чек‑лист для команд по информационной безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GootLoader (UNC2565): Access-as-a-Service через SEO poisoning и ZIP‑обман".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.