複雑な回避手法を用いて、ランサムウェアなどのさまざまなマルウェアを米国、ドイツ、韓国に配信するGootloader
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、新しい調査レポート「悪意のあるペイロードの配信メカニズム「Gootloader」」を公開しました。このレポートでは、6年間活動してきた金融マルウェアGootkitの配信方法が進化し、ランサムウェアなどのさまざまなマルウェアを配信する複雑でステルス性の高いシステムに発展してきた経緯を詳しく説明しています。ソフォスの研究者は、このプラットフォームを「Gootloader」と命名しました。Gootloaderは、米国、ドイツ、韓国に標的を限定した攻撃を展開し、悪意のあるペイロードを現在も配信しています。過去の攻撃ではフランスのインターネットユーザーも標的にしていました。
Gootloaderの感染チェーンは、ハッキングしたWebサイト、悪意のあるダウンロード、検索エンジン最適化(SEO)の改変などの高度なソーシャルエンジニアリング手法から始まります。たとえば、Googleなどの検索エンジンに質問を入力すると、ハッキングされたWebサイトが検索結果の上位に表示されます。標的国のユーザーを確実に攻撃するために、このサイバー犯罪者はWebサイトのコードを絶えず書き換えており、攻撃対象の国以外からアクセスしているユーザーには無害なWebコンテンツを表示し、対象の国からアクセスしたユーザーには、問い合わせたトピックに関連する掲示板サイトを偽装したページを表示します。英語、ドイツ語、韓国語でも、偽サイトの見た目は同じになっています。
偽の掲示板サイトには「サイト管理者」からの投稿があり、ダウンロードリンクが貼られています。ダウンロードされるのは、セキュリティ侵害の次の段階を開始する悪意のあるJavascriptファイルです。
この時点から、広範で複雑な回避手法、複数階層にわたる難読化、従来のセキュリティスキャンでは検出できないメモリやレジストリに注入されるファイルレスのマルウェアなどを利用して、攻撃が密かに進行します。Gootloaderは現在、ドイツでは銀行を狙うマルウェアKronosを、米国と韓国ではシステムに侵入した後に実行される攻撃ツール「Cobalt Strike」を配信しています。また、REvilランサムウェアやGootkitトロイの木馬も配信しています。
SophosLabs脅威調査部門担当ディレクターのGabor Szappanosは次のように述べています。「Gootkitの開発者は、その資源と労力を、金融機関を標的とする独自のマルウェアを配信することから、REvilランサムウェアなどのあらゆる種類のペイロードを配信するステルス性の高い複雑なプラットフォームを作成することに移行しているようです。サイバー犯罪者は、新しい配信の仕組み開発するのではなく、これまでに効果を発揮しているソリューションを再利用する傾向にあります。さらに、一部のマルウェアの配信者で見られるようにエンドポイントツールを積極的に攻撃するのではなく、Gootloaderの作成者は最終的な結末を隠す複雑な回避手法を取り入れています。
Gootloaderの作成者は、高い技術力を有するITユーザーも欺くことができるいくつものソーシャルエンジニアリングの手法を使用していますが、インターネットユーザーには危険を察知できるいくつかの警告の兆候があります。これらの兆候には、ユーザーに提供しようとしているアドバイスとは論理的に関連性のない企業のWebサイトがGoogleの検索結果に表示されること、アドバイスが最初の質問で使用した検索語と完全に一致すること、ソフォスの調査で見つかった例と同じ「掲示板」スタイルのページが表示されること、最初のGoogle検索で使用した検索語と完全に一致するテキストとダウンロードリンクが表示されることなどがあります。」
Gootloader攻撃に対する最も効果の高い防御方法は、メモリ内の不審な動作をスキャンし、ファイルレスのマルウェアからも保護できる包括的なセキュリティソリューションです。Windowsユーザーは、Windowsファイルエクスプローラの「既知のファイルタイプの拡張子を非表示」設定をオフにすることもできます。これにより、攻撃者が配信した.zipダウンロードに、.jsファイルが含まれていないか確認できます。FirefoxのNoScriptなどのスクリプトブロックツールは、ハッキングされたWebページがブラウザに表示されないようにして、安全にWebページを閲覧できるようにします。
Sophos Intercept Xは、Cobalt Strikeの配信やプロセスハロウイングの手法による実行中のシステムへのマルウェアの注入など、Gootloaderのようなマルウェアの行動や振る舞いを検出し、ユーザーを保護します。
最初の段階のjavascriptファイルはAMSI/GootLdr-Aとして検出されます。PowerShellローダは、AMSI/Reflect-Hとして検出されます。ソフォスの研究者は、SophosLabs Githubにセキュリティ侵害の痕跡(IoC)を投稿しています。
Gootloaderやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。SophosLabs Uncutでは、ソフォスの研究者が「Mazeの後継となるEgregorランサムウェア」や「検出回避に長けた Conti ランサムウェア」など、最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。
その他の参考資料
- ソフォスはランサムウェアに関するさまざまなレポートを公開しています。Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。
- タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
- 検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
- Conti ランサムウェア攻撃への心構えと対策- IT管理者向けの必須ガイド
- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
- ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。