Bestimmte cyberkriminelle Gruppen wie Ransomware-Banden, Botnet-Betreiber und Finanzbetrüger erhalten besondere Aufmerksamkeit für ihre Angriffe und Operationen. Aber das größere Ökosystem, das der digitalen Kriminalität zugrunde liegt, umfasst eine Reihe von Akteuren und böswilligen Organisationen, die diesen kriminellen Kunden im Wesentlichen Unterstützungsdienste verkaufen. Heute sind es Forscher der Sicherheitsfirma eSentire Aufschlussreich ihre Methoden, um den Betrieb eines langjährigen kriminellen Unternehmens zu stören, das Unternehmen und andere Organisationen kompromittiert und diesen digitalen Zugang dann an andere Angreifer verkauft.
Die Gootloader-Malware und die dahinter stehenden Kriminellen sind als Initial-Access-as-a-Service-Operation bekannt und kompromittieren und betrügen seit Jahren. Die Gootloader-Bande infiziert betroffene Organisationen und verkauft dann Zugang, um die bevorzugte Malware eines Kunden in das kompromittierte Zielnetzwerk zu bringen, sei es Ransomware, Mechanismen zur Datenexfiltration oder andere Tools, um das Ziel tiefer zu kompromittieren. Durch die Verfolgung von Gootloader-Seitendaten sammelten die eSentire-Forscher beispielsweise Beweise dafür, dass die berüchtigte russische Ransomware-Bande REvil zwischen 2019 und 2022 regelmäßig mit Gootloader zusammengearbeitet hat, um einen ersten Zugang zu Opfern zu erhalten – eine Beziehung, die das tut andere Forscher haben bemerkte sowie.
Joe Stewart, der leitende Sicherheitsforscher von eSentire, und der leitende Bedrohungsforscher Keegan Keplinger haben einen Web-Crawler entwickelt, um Live-Gootloader-Webseiten und ehemals infizierte Websites zu verfolgen. Derzeit sehen die beiden etwa 178.000 Live-Gootloader-Webseiten und mehr als 100.000 Seiten, die in der Vergangenheit anscheinend mit Gootloader infiziert wurden. In einem Retrospektive Beratung Im vergangenen Jahr warnte die United States Cybersecurity and Infrastructure Security Agency, dass Gootloader neben 10 anderen einer der Top-Malware-Stämme des Jahres 2021 sei.
Durch die Verfolgung der Aktivitäten und Operationen von Gootloader im Laufe der Zeit identifizierten Stewart und Keplinger Merkmale, wie Gootloader seine Spuren verschleiert und versucht, der Entdeckung zu entgehen, die Verteidiger ausnutzen können, um Netzwerke vor einer Infektion zu schützen.
„Wenn Sie sich eingehender mit der Funktionsweise des Gootloader-Systems und der Malware befassen, finden Sie all diese kleinen Möglichkeiten, ihren Betrieb zu beeinflussen“, sagt Stewart. „Wenn Sie meine Aufmerksamkeit bekommen, werde ich von Dingen besessen, und das ist es, was Sie als Malware-Autor nicht wollen, dass Forscher einfach vollständig in Ihre Operationen eintauchen.“
Aus dem Auge, aus dem Sinn
Gootloader entwickelte sich aus einem Banking-Trojaner namens Gootkit, der bereits seit 2010 Ziele vor allem in Europa infiziert. Gootkit wurde in der Regel über Phishing-E-Mails oder infizierte Websites verbreitet und wurde entwickelt, um Finanzinformationen wie Kreditkartendaten und Bankkonto-Logins zu stehlen. Als Ergebnis der Aktivitäten, die im Jahr 2020 begannen, haben Forscher Gootloader jedoch separat verfolgt, da der Malware-Bereitstellungsmechanismus zunehmend zur Verbreitung einer Reihe von krimineller Software, einschließlich Spyware und Ransomware, verwendet wurde.
Der Gootloader-Operator ist dafür bekannt, Links zu kompromittierten Dokumenten zu verteilen, insbesondere zu Vorlagen und anderen generischen Formularen. Wenn Ziele auf die Links klicken, um diese Dokumente herunterzuladen, infizieren sie sich unbeabsichtigt mit Gootloader-Malware. Um Ziele dazu zu bringen, den Download zu initiieren, verwenden Angreifer eine als Suchmaschinenoptimierungsvergiftung bekannte Taktik, um legitime Blogs, insbesondere WordPress-Blogs, zu kompromittieren und ihnen dann heimlich Inhalte hinzuzufügen, die bösartige Dokumentlinks enthalten.
Gootloader wurde entwickelt, um Verbindungen zu verdorbenen Blog-Beiträgen auf eine Reihe von Merkmalen zu überprüfen. Wenn beispielsweise jemand bei einem kompromittierten WordPress-Blog angemeldet ist, unabhängig davon, ob er über Administratorrechte verfügt oder nicht, wird er daran gehindert, die Blog-Posts zu sehen, die die schädlichen Links enthalten. Und Gootloader geht so weit, auch IP-Adressen dauerhaft zu sperren, die zahlenmäßig nahe an der Adresse liegen, die bei einem entsprechenden WordPress-Konto angemeldet ist. Die Idee ist, andere Personen in derselben Organisation davon abzuhalten, die bösartigen Posts zu sehen.