Siber tehdit aktörleri, Gootkit kötü amaçlı yazılımının araç setlerinde ‘kayda değer değişiklikler’ yaparak, bulaşma zincirlerine yeni bileşenler eklediklerini ifade etti.

Mandiant, kötü amaçlı yazılımı izlediğini beirtti ve bu yazılımın ‘gruba özel’ olduğunu söyledi. Gootloader olarak da bilinen Gootkit’in, arama motoru optimizasyonu (SEO) zehirlenmesi adı verilen bir teknikle anlaşmalar ve sözleşmeler gibi işle ilgili belgeleri ararken kurbanların ziyaret etmeleri için kandırıldığı, güvenliği ihlal edilmiş web siteleri aracılığıyla yayıldığı açıklandı. Sözde belgelerin, başlatıldığında Cobalt Strike Beacon, FONELAUNCH ve SNOWCONE gibi ek yüklerin yolunu açan JavaScript kötü amaçlı yazılımını barındıran ZIP arşivlerini çalıştırdığı da gelen bilgiler arasında yer aldı.

Gootkit’in kapsayıcı hedefleri değişmeden kalırken, saldırı dizisinin kendi içinde önlemli güncelleri aldığı, burada ZIP arşivindeki JavaScript dosyasını trojana dönüştürdüğü ve sonuç olarak kötü amaçlı yazılımı yürütmeyi devam eden başka bir karartılmış JavaScript dosyası içerdiği aktarıldı.

Kasım 2022’de tespit edilen yeni değişkenin Avustralya sağlık sektörünü hedef alması ise dikkat çekti.