Операторы Gootkit Loader используют VLC Media Player как инструмент постэксплуатации

Исследователи Trend Micro предупреждают , что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO ( SEO poisoning ) и VLC Media Player в качестве Cobalt Strike .

В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.

ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.

Цепочка атаки Gootkit Loader

Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). «msdtc.exe» — это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода DLL Sideloading установщик загружает библиотеку «libvlc.dll» с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.