Οι ειδικοί της Trend Micro εντόπισαν νέες επιθέσεις που χρησιμοποιούν το Gootkit εναντίον εταιρειών που δραστηριοποιούνται στον τομέα της υγειονομικής περίθαλψης. Οι εγκληματίες εκμεταλλεύονται το SEO poisoning για αρχική πρόσβαση και το γνωστό VLC Media Player για τη διανομή του Cobalt Strike και την εγκατάσταση άλλου κακόβουλου λογισμικού.
Gootkit: SEO poisoning και DLL side-loading
Το πρώτο βήμα των επιθέσεων περιλαμβάνει τη χρήση μιας τεχνικής που ονομάζεται SEO poisoning. Όταν το ανυποψίαστο θύμα χρησιμοποιεί ορισμένες λέξεις-κλειδιά που σχετίζονται με ιατρικές πληροφορίες, σε συνδυασμό με ονόματα πόλεων της Αυστραλίας, η Google εμφανίζει επίσης ιστότοπους που έχουν δημιουργηθεί από εγκληματίες και φαίνονται νόμιμοι. Στην πράξη, η κατάταξη “δηλητηριάζεται” για να φέρει τα αποτελέσματα στο προσκήνιο.
Οι ιστότοποι είναι φόρουμ που περιέχουν υποτιθέμενες απαντήσεις στις ερωτήσεις των χρηστών μέσα σε ένα αρχείο ZIP που πρέπει να γίνει download στον υπολογιστή. Στην πραγματικότητα, υπάρχει ένα αρχείο JavaScript (Gootkit) που, όταν εκτελείται, δημιουργεί μια προγραμματισμένη εργασία. Στη συνέχεια κατεβαίνει ένα σενάριο PowerShell που ανακτά άλλα αρχεία από τον απομακρυσμένο διακομιστή, συμπεριλαμβανομένων των msdtc.exe και libvlc.dll.
Το εκτελέσιμο αρχείο είναι μια νόμιμη, υπογεγραμμένη έκδοση του VLC Media Player, ενώ το DLL είναι μια ψεύτικη βιβλιοθήκη αναπαραγωγής πολυμέσων. Η εκκίνηση του VLC προκαλεί τη φόρτωση του DLL στη μνήμη, εκμεταλλευόμενη μια τεχνική που ονομάζεται DLL side-loading. Σε αυτό το σημείο, εκτελούνται δύο διεργασίες (dllhost.exe και wabmig.exe) που χρησιμοποιούνται για τη διανομή του Cobalt Strike.
Εκμεταλλευόμενοι το γνωστό εργαλείο, οι hackers μπορούν να ανεβάσουν scripts για να αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο και να κλέψουν διαπιστευτήρια. Οι ερευνητές δεν έχουν ανακαλύψει το τελικό payload, αλλά το Cobalt Strike χρησιμοποιείται συχνά για επιθέσεις ransomware.
