Τον Ιανουάριο και τον Φεβρουάριο του 2023, έξι δικηγορικά γραφεία στοχοποιήθηκαν με το κακόβουλο λογισμικό GootLoader και SocGholish σε δύο ξεχωριστές καμπάνιες, αναφέρει η εταιρεία κυβερνοασφάλειας eSentire.

Στοχεύοντας υπαλλήλους δικηγορικών γραφείων, η πρώτη εκστρατεία είχε στόχο να μολύνει τις συσκευές των θυμάτων με το GootLoader, μια οικογένεια κακόβουλου λογισμικού που είναι γνωστή για τη λήψη του trojan απομακρυσμένης πρόσβασης GootKit (RAT), του ransomware REvil ή του εμφυτεύματος Cobalt Strike.

Σύμφωνα με το eSentire, οι επιθέσεις εμφανίζονται εστιασμένες σε κατασκοπεία και στις δραστηριότητες των εταιριών, δεδομένου ότι καμία από τις παρατηρούμενες μολύνσεις GootLoader το 2022 δεν ανέπτυξε ransomware.

Για την αρχική πρόσβαση, οι εισβολείς βασίστηκαν σε επίθεση βελτιστοποίησης μηχανών αναζήτησης (SEO), προσθέτοντας αναρτήσεις ιστολογίου σε έναν παραβιασμένο νόμιμο ιστότοπο του WordPress.

Τα ιστολόγια που έχουν μολυνθεί από το GootLoader περιείχαν νομικές λέξεις-κλειδιά για να προσελκύσουν υπαλλήλους δικηγορικών γραφείων και να αυξήσουν την κατάταξή τους στα αποτελέσματα αναζήτησης.

Οι επισκέπτες οδηγήθηκαν σε μια ψεύτικη σελίδα φόρουμ ενθαρρύνοντάς τους να κατεβάσουν ένα υποτιθέμενο πρότυπο συμφωνίας ή πρότυπο σύμβασης, αλλά αντ’ αυτού εμφανίστηκε το κακόβουλο λογισμικό GootLoader.

«Η αυξημένη απουσία ransomware που αναπτύσσεται σε αυτές τις επιθέσεις, ενώ διατηρείται η επιτυχία στη μόλυνση νομικών εταιρειών και η προθυμία να εμπλακούν σε πρακτικές εισβολές, υποδηλώνει την πιθανότητα ότι οι λειτουργίες GootLoader έχουν μετατοπιστεί όχι μόνο στην υποστήριξη επιθέσεων με οικονομικά κίνητρα, αλλά και υποστηρίζοντας επιχειρήσεις με πολιτικά κίνητρα και κατασκοπεία στον κυβερνοχώρο», λέει ο ερευνητής του eSentire Keegan Keplinger.

Στο πλαίσιο της δεύτερης εκστρατείας, οι επιτιθέμενοι στόχευσαν υπαλλήλους δικηγορικών γραφείων και άλλους επαγγελματίες επαγγελματίες με το κακόβουλο λογισμικό SocGholish, το οποίο είναι επίσης γνωστό ως FakeUpdates.

Συνήθως χρησιμοποιείται από μεσίτες αρχικής πρόσβασης, το SocGholish επιτρέπει στους εισβολείς να πραγματοποιούν αναγνώριση και να αναπτύσσουν πρόσθετα ωφέλιμα φορτία, συμπεριλαμβανομένου του Cobalt Strike. Πρόσφατα, το κακόβουλο λογισμικό εμφανίστηκε επίσης να αναπτύσσει το LockBit ransomware.

Οι επιθέσεις που παρατηρήθηκαν βασίστηκαν σε δηλητηριασμένους τομείς, συμπεριλαμβανομένου του παραβιασμένου ιστότοπου μιας επιχείρησης που προσφέρει υπηρεσίες συμβολαιογράφου στο Μαϊάμι. Ο παραβιασμένος ιστότοπος εμφάνισε μια αναδυόμενη ειδοποίηση που ενημερώνει τους επισκέπτες ότι πρέπει να ενημερώσουν το πρόγραμμα περιήγησης Chrome, αλλά αντ ‘αυτού να εξυπηρετούν το κακόβουλο λογισμικό SocGholish.

«Μολύνοντας έναν μεγάλο αριθμό τοποθεσιών χαμηλότερης επισκεψιμότητας, οι χειριστές SocGholish καταγράφουν τον περιστασιακό ιστότοπο των θυμάτων υψηλής αξίας από τις μολύνσεις τους. Για παράδειγμα, στον ιστότοπο του Συμβολαιογράφου συχνάζουν νομικά γραφεία. Αυτοί οι επισκέπτες θεωρούνται υψηλής αξίας», σημειώνει το eSentire.