Gootkit fejlesztések
A Mandiant kutatása szerint a Gootkit malware-hez kapcsolódó UNC2565 csoport figyelemreméltó változtatásokat hajtott végre eszközkészletükön, új komponensekkel és obfuszkációval bővítették fertőzési láncukat.
A Gootkit (Gootloader), olyan feltört webhelyeken terjed, amelyekre az áldozatokat a keresőoptimalizálás (SEO) segíségével csalják. A dokumentumok ZIP-tömörített formátumban érhetők el, azonban JavaScript kártékony kódokkal tarkítják, amely elindításakor további kártékony kódokat tölt le, így a Cobalt Strike Beacon, a Fonelaunch és a Snowcone.
Míg a Gootkit átfogó céljai változatlanok maradtak, a támadási szekvencia önmagában jelentős frissítéseket kapott, így a ZIP-fájlokban lévő JavaScript-fájl trójai lett, és egy másik elhomályosított (obfuszkált) JavaScript-fájlt tartalmaz, amely futtatja a kártevőt.
Az új változatot, amelyet a fenyegetésekkel foglalkozó hírszerző cég 2022 novemberében észlelt, GOOTLOADER.POWERSHELL néven követi nyomon.
A Mandiant megosztotta az azonosításhoz szükséges mutatókat és szabályokat.