En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin
IBM X-Force grubu endişe verici bir şekilde her botun, ihlal edilen bir WordPress sitesinde çalışan kendi komuta ve kontrol sunucusu (C2) tarafından kontrol edildiğini açıkladı
Abone
siber-1
IBM X-Force tehdit istihbaratı grubundaki araştırmacılar yeni bir danışma belgesinde, Gootloader’ın (aynı zamanda Hive0127 ve UNC2565 altında da izleniyor) 2014’ten bu yana aktif olduğunu ve kurbanları ilk uzlaşma için virüslü iş belgesi şablonlarını (sözleşmeler ve formlar) indirmeye kandırmak için SEO zehirlemesini kullandığını söyledi
“Raporda, TTP’lerdeki ve araçlardaki bu değişim, Gootloader bağlantılı fidye yazılımı ortaklık faaliyetleri gibi istismar sonrası başarılı aşamaların riskini artırıyor” uyarısı yapıldı
Araştırmacılar, genellikle Gootloader’ın bu erişimi CobaltStrike veya Remote Desktop Protocl (RDP) gibi araçları kullanarak ağ geneline yayılacak diğer tehdit gruplarına aktaracağını açıkladı
Daha da kötüsü, araştırmacılar GootBot’un 6 Kasım itibarıyla VirusTotal’da herhangi bir tespitinin listelenmediğini ekledi
Daha önce yalnızca ilk erişim aracısı (IAB) ve kötü amaçlı yazılım operatörü olarak bilinen Gootloader Grubu, bir uzlaşmanın ardından botları kurumsal ortamlara yayan, yıkıcı yeni bir uzlaşma sonrası aracı olan GootBot’u kullanıma sundu Ancak grubun uygulamaya başladığı yeni bir araç, çok daha yıkıcı GootBot uzlaşma sonrası kötü amaçlı yazılımdır; Gootloader’ın ilk güvenliğinin ardından, tespit edilmesi çok zor bir bot ordusunu devreye sokar Botlar konuşlandırıldıktan sonra bir etki alanı denetleyicisi aramaya başlar