Pelaku ancaman yang terkait dengan Malware Gootkit telah membuat "perubahan penting" pada perangkat mereka, menambahkan komponen dan penyamaran baru ke rantai infeksi mereka.
Mandiant milik Google sedang memantau kluster aktivitas di bawah moniker UNC2565 , mencatat bahwa penggunaan malware "eksklusif untuk grup ini".
Gootkit juga disebut Gootloader, disebarkan melalui situs web yang disusupi yang ditipu oleh korban untuk dikunjungi saat mencari dokumen terkait bisnis seperti perjanjian dan kontrak melalui teknik yang disebut keracunan mesin pencari (SEO).
Dokumen yang diklaim berbentuk arsip ZIP yang menyimpan malware JavaScript, yang ketika diluncurkan, membuka jalan bagi muatan tambahan seperti Cobalt Strike Beacon, FONELAUNCH, dan SNOWCONE.
FONELAUNCH adalah pemuat berbasis .NET yang dirancang untuk memuat muatan yang disandikan ke dalam memori, sedangkan SNOWCONE adalah pengunduh yang bertugas mengambil muatan tahap berikutnya, biasanya IcedID , melalui HTTP.
Varian baru, yang ditemukan oleh perusahaan intelijen ancaman pada November 2022, dilacak sebagai GOOTLOADER.POWERSHELL. Perlu dicatat bahwa rantai infeksi yang diubah juga didokumentasikan oleh Trend Micro awal bulan ini, merinci serangan Gootkit yang menargetkan sektor kesehatan Australia.
Terlebih lagi, pembuat malware dikatakan telah mengambil tiga pendekatan berbeda untuk mengaburkan Gootkit, termasuk menyembunyikan kode dalam versi yang diubah dari perpustakaan JavaScript yang sah seperti jQuery, Chroma.js, dan Underscore.js, dalam upaya untuk menghindari deteksi.
Ini bukan hanya Gootkit, karena tiga jenis FONELAUNCH yang berbeda – FONELAUNCH.FAX, FONELAUNCH.PHONE, dan FONELAUNCH.DIALTONE – telah digunakan oleh UNC2565 sejak Mei 2021 untuk mengeksekusi file DLL, binari .NET, dan PE, menunjukkan bahwa gudang malware terus dipelihara dan diperbarui.
“Perubahan ini menggambarkan perkembangan aktif dan pertumbuhan kemampuan UNC2565,” kata peneliti Mandiant Govand Sinjari dan Andy Morales.