黑客使用GootLoader和SocGholish恶意软件瞄准律师事务所

网络罪犯使用 GootLoader 和 FakeUpdates（又名 SocGholish）恶意软件系列将律师事务所作为目标。

eSentire的研究人员在2023年1月和2月期间挫败了针对6家不同律师事务所的10次网络攻击。

这些公司是两个不同活动的一部分，旨在分发GootLoader和FakeUpdates（又名SocGholish）恶意软件。

“这些攻击源自两个独立的威胁活动。一项活动试图用GootLoader恶意软件感染律师事务所员工。另一场运动使用 SocGholish 恶意软件攻击律师事务所员工和其他受害者。”.

GootLoader 在访问即服务模型上运行，不同的组织使用它在受感染的系统上投放额外的恶意负载。众所周知，GootLoader 使用无文件技术来传递威胁，例如SunCrypt和REvil(Sodinokibi) 勒索软件、Kronos木马和Cobalt Strike。过去，GootLoader分发伪装成免费软件安装程序的恶意软件，并使用法律文件诱骗用户下载这些文件。

攻击链始于用户在搜索引擎中搜索特定信息。攻击者使用黑色SEO技术在结果中显示被GootLoader操作员破坏的网站。

访问该网站后，受害者会注意到它是一个在线论坛，可以直接回答他的查询。该论坛托管了一个包含恶意 .js 文件的 ZIP 存档，该文件用于建立持久性并将 Cobalt Strike 二进制文件放入受感染系统的内存中。

在被eSentire阻止的活动中，威胁行为者破坏了合法的WordPress网站，并在管理员不知情的情况下添加了新的博客文章。

帖子的标题和内容旨在诱骗访问者点击嵌入式链接下载所谓的商业协议，然而，他们实际上是在下载GootLoader。

“虽然“协议”一词是标题中常见的关键字，但 GootLoader 也使用其他法律语言来捕捉法律雇员，例如“合同工资计算器”。Gootloader 使用合法标题的方式使得当业务专业人员在 Internet 上搜索特定合同或协议时，很少有 SEO 对一起使用的词集合进行SEO竞争，因此受 GootLoader 感染的博客经常上升到搜索结果的前五名。一旦法律雇员点击链接，他们就会看到一个虚假的论坛页面，其中提供了所谓的协议模板或合同模板。” 分析指出。“当员工下载并执行文档时，他们实际上是在下载并执行GootLoader恶意软件。”

在 1 月份观察到的另一场威胁活动中，攻击者试图用SocGholish恶意软件感染律师事务所员工和其他业务专业人员。

SocGholish是一个 JavaScript 框架，可充当其他恶意软件活动的加载程序，最常见的是Cobalt Strike有效负载。

在研究人员阻止的活动中，威胁行为者通过破坏律师事务所经常访问的网站（Notary Public 的网站）来分发恶意软件，从而进行了水坑攻击。

总结来说：“TRU 观察到 2022 年的 GootLoader 攻击以及 1 月和 2 月的攻击并没有导致勒索软件恶意软件，这很奇怪。在这些攻击中部署勒索软件的情况越来越少，同时在感染律师事务所方面保持成功，并愿意参与实际入侵，这表明 GootLoader 操作可能已经转向不仅支持以经济为动机的攻击，而且还支持出于政治动机和网络间谍活动。” 

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4562.html