複雑な回避手法を用いて、ランサムウェアなどのさまざまなマルウェアを米国、ドイツ、韓国に配信するGootloader

3月 1, 2021 —

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、新しい調査レポート「悪意のあるペイロードの配信メカニズム「Gootloader」」を公開しました。このレポートでは、6年間活動してきた金融マルウェアGootkitの配信方法が進化し、ランサムウェアなどのさまざまなマルウェアを配信する複雑でステルス性の高いシステムに発展してきた経緯を詳しく説明しています。ソフォスの研究者は、このプラットフォームを「Gootloader」と命名しました。Gootloaderは、米国、ドイツ、韓国に標的を限定した攻撃を展開し、悪意のあるペイロードを現在も配信しています。過去の攻撃ではフランスのインターネットユーザーも標的にしていました。

Gootloaderの感染チェーンは、ハッキングしたWebサイト、悪意のあるダウンロード、検索エンジン最適化(SEO)の改変などの高度なソーシャルエンジニアリング手法から始まります。たとえば、Googleなどの検索エンジンに質問を入力すると、ハッキングされたWebサイトが検索結果の上位に表示されます。標的国のユーザーを確実に攻撃するために、このサイバー犯罪者はWebサイトのコードを絶えず書き換えており、攻撃対象の国以外からアクセスしているユーザーには無害なWebコンテンツを表示し、対象の国からアクセスしたユーザーには、問い合わせたトピックに関連する掲示板サイトを偽装したページを表示します。英語、ドイツ語、韓国語でも、偽サイトの見た目は同じになっています。

偽の掲示板サイトには「サイト管理者」からの投稿があり、ダウンロードリンクが貼られています。ダウンロードされるのは、セキュリティ侵害の次の段階を開始する悪意のあるJavascriptファイルです。

この時点から、広範で複雑な回避手法、複数階層にわたる難読化、従来のセキュリティスキャンでは検出できないメモリやレジストリに注入されるファイルレスのマルウェアなどを利用して、攻撃が密かに進行します。Gootloaderは現在、ドイツでは銀行を狙うマルウェアKronosを、米国と韓国ではシステムに侵入した後に実行される攻撃ツール「Cobalt Strike」を配信しています。また、REvilランサムウェアやGootkitトロイの木馬も配信しています。

SophosLabs脅威調査部門担当ディレクターのGabor Szappanosは次のように述べています。「Gootkitの開発者は、その資源と労力を、金融機関を標的とする独自のマルウェアを配信することから、REvilランサムウェアなどのあらゆる種類のペイロードを配信するステルス性の高い複雑なプラットフォームを作成することに移行しているようです。サイバー犯罪者は、新しい配信の仕組み開発するのではなく、これまでに効果を発揮しているソリューションを再利用する傾向にあります。さらに、一部のマルウェアの配信者で見られるようにエンドポイントツールを積極的に攻撃するのではなく、Gootloaderの作成者は最終的な結末を隠す複雑な回避手法を取り入れています。

Gootloaderの作成者は、高い技術力を有するITユーザーも欺くことができるいくつものソーシャルエンジニアリングの手法を使用していますが、インターネットユーザーには危険を察知できるいくつかの警告の兆候があります。これらの兆候には、ユーザーに提供しようとしているアドバイスとは論理的に関連性のない企業のWebサイトがGoogleの検索結果に表示されること、アドバイスが最初の質問で使用した検索語と完全に一致すること、ソフォスの調査で見つかった例と同じ「掲示板」スタイルのページが表示されること、最初のGoogle検索で使用した検索語と完全に一致するテキストとダウンロードリンクが表示されることなどがあります。」

Gootloader攻撃に対する最も効果の高い防御方法は、メモリ内の不審な動作をスキャンし、ファイルレスのマルウェアからも保護できる包括的なセキュリティソリューションです。Windowsユーザーは、Windowsファイルエクスプローラの「既知のファイルタイプの拡張子を非表示」設定をオフにすることもできます。これにより、攻撃者が配信した.zipダウンロードに、.jsファイルが含まれていないか確認できます。FirefoxのNoScriptなどのスクリプトブロックツールは、ハッキングされたWebページがブラウザに表示されないようにして、安全にWebページを閲覧できるようにします。

Sophos Intercept Xは、Cobalt Strikeの配信やプロセスハロウイングの手法による実行中のシステムへのマルウェアの注入など、Gootloaderのようなマルウェアの行動や振る舞いを検出し、ユーザーを保護します。

最初の段階のjavascriptファイルはAMSI/GootLdr-Aとして検出されます。PowerShellローダは、AMSI/Reflect-Hとして検出されます。ソフォスの研究者は、SophosLabs Githubにセキュリティ侵害の痕跡(IoC)を投稿しています。

Gootloaderやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。SophosLabs Uncutでは、ソフォスの研究者が「Mazeの後継となるEgregorランサムウェア」「検出回避に長けた Conti ランサムウェア」など、最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。

その他の参考資料

ソフォスについて

ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。

ソフォスについて

ソフォスは、サイバーセキュリティ業界のリーダー企業として、AI を駆使したプラットフォームや精鋭スタッフによるサービスを世界中の 600,000社以上のお客様にご利用いただいています。セキュリティの成熟度にかかわらず、あらゆるお客様のご要望にお応えし、サイバー攻撃を撃退すべくお客様とともに成長を続けています。機械学習や、自動化、リアルタイムの脅威インテリジェンスに、Sophos X-Ops の最前線スタッフから得た専門知識を組み合わせて、高度な脅威監視、検出、対応を 24時間 365日体制で行っています。
ソフォスは、業界最先端の MDR (managed detection and response) を提供しているのに加えて、エンドポイントをはじめ、ネットワーク、メール、クラウドセキュリティ、XDR (extended detection and response)、ITDR (identity threat detection and response)、次世代の SIEM まで、サイバーセキュリティテクノロジーのあらゆるラインナップを取り揃えています。さらに、専門家によるアドバイザリーサービスも提供しており、組織はこれらを組み合わせて利用することで、リスクをあらかじめ減らし、迅速な対応をとれるようになるだけでなく、進化し続ける脅威の一歩先をいくために必要な可視性および拡張性を確保することが可能となります。
ソフォスは、グローバルに広がるパートナーエコシステムを通じて市場展開しており、お客様は、MSP (Managed Service Provider)、MSSP (Managed Security Service Provider) や、リセラー、ディストリビューターのほか、マーケットプレイスにおける統合、ソフォスのサイバーリスクパートナーまで、信頼できる関係性を自由にお選びいただけます。  ソフォス本社は英国のオックスフォードにあります。詳細については www.sophos.com をご覧ください。