Gootkit bir hizmet olarak erişim modelinde çalışır, farklı gruplar tarafından güvenliği ihlal edilmiş sistemlere ek kötü amaçlı yükler bırakmak için kullanılır. Gootkit'in SunCrypt ve REvil (Sodinokibi) fidye yazılımı, Kronos truva atları ve Cobalt Strike gibi tehditleri iletmek için dosyasız teknikler kullandığı biliniyor.
Geçmişte, Gootkit ücretsiz yazılım yükleyicileri gibi görünen kötü amaçlı yazılımlar dağıttı, şimdi ise kullanıcıları bu dosyaları indirmeleri için kandırmak için yasal belgeler kullanıyor.
Saldırı zinciri, bir kullanıcının bir arama motorunda belirli bilgileri aramasıyla başlar. Saldırganlar, sonuçlar arasında Gootkit operatörleri tarafından güvenliği ihlal edilmiş bir web sitesini görüntülemek için siyah SEO tekniğini kullanır.
Web sitesini ziyaret ettikten sonra, mağdur, doğrudan sorgusuna yanıt veren çevrimiçi bir forum olarak sunulduğunu fark edecektir. Bu forum, kalıcılık sağlamak ve virüslü sistemin belleğine bir Cobalt Strike ikili dosyasını bırakmak için kullanılan kötü amaçlı .js dosyasını içeren bir ZIP arşivine ev sahipliği yaptı.
“Kullanıcı bu dosyayı indirip açtığında, kayıt defteri doldurma yoluyla kayıt defterine bir yığın şifreli kod yükleyen ve kalıcılık için zamanlanmış görevler ekleyen, karışık bir komut dosyası oluşturdu. Kayıt defterindeki şifrelenmiş kod daha sonra doğrudan bellekte dosyasız olarak çalışan bir Cobalt Strike ikili dosyasını yeniden oluşturmak için PowerShell aracılığıyla yansıtıcı bir şekilde yüklendi.” Trend Micro tarafından yayınlanan analizi okur. "Az önce açıkladığımız şeylerin çoğu, 2020'de bildirdiğimiz davranışla hala uyumludur, ancak birkaç küçük güncellemeyle. Bu, Gootkit Loader'ın hala aktif olarak geliştirildiğini ve şüpheli olmayan kurbanlardan ödün vermede başarılı olduğunu kanıtlıyor."
Uzmanlar, şifreli kayıtların artık base64 kodlaması yerine özel metin değiştirme algoritması kullandığına dikkat çekti.
Doğrudan kurbanın sisteminin belleğine yüklenen Cobalt Strike ikili dosyasının, bir Kobalt Strike C2 olan 89[.]238[.]185[.]13 IP adresine bağlandığı gözlemlendi.
"Bu davadan bir anahtar çıkarım, Gootkit'in hala aktif olması ve tekniklerini geliştirmesidir. Bu, diğer tehdit aktörleri onu kullanmaya devam ettiği için bu operasyonun etkili olduğunu kanıtladı. Kullanıcıların gelecekte başka kampanyalarda Gootkit ile karşılaşmaları ve kurbanları tuzağa düşürmek için yeni yöntemler kullanması muhtemeldir.” raporu bitirir. “Bu tehdit aynı zamanda SEO zehirlenmesinin şüphelenmeyen kullanıcıları cezbetmede etkili bir taktik olmaya devam ettiğini gösteriyor. SEO zehirlenmesi ve güvenliği ihlal edilmiş meşru web sitelerinin birleşimi, genellikle kullanıcıları tetikte tutacak kötü amaçlı etkinlik göstergelerini maskeleyebilir. Bu tür taktikler, kullanıcı farkındalığının önemini ve web sitesi sahiplerinin siber alanlarını güvende tutma sorumluluğunu vurgulamaktadır.”