Исследователи Trend Micro предупреждают , что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike.
В методах отравления SEO используются такие ключевые слова, как “больница”, “здоровье”, “медицина” и “корпоративное соглашение” в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, “отравленные” сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.
ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.
Цепочка атаки Gootkit Loader
Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). “msdtc.exe” – это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода DLL Sideloading установщик загружает библиотеку “libvlc.dll” с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.