複雑な回避手法を用いて、ランサムウェアなどのさまざまなマルウェアを米国、ドイツ、韓国に配信するGootloader

3月 1, 2021 —

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、新しい調査レポート「悪意のあるペイロードの配信メカニズム「Gootloader」」を公開しました。このレポートでは、6年間活動してきた金融マルウェアGootkitの配信方法が進化し、ランサムウェアなどのさまざまなマルウェアを配信する複雑でステルス性の高いシステムに発展してきた経緯を詳しく説明しています。ソフォスの研究者は、このプラットフォームを「Gootloader」と命名しました。Gootloaderは、米国、ドイツ、韓国に標的を限定した攻撃を展開し、悪意のあるペイロードを現在も配信しています。過去の攻撃ではフランスのインターネットユーザーも標的にしていました。

Gootloaderの感染チェーンは、ハッキングしたWebサイト、悪意のあるダウンロード、検索エンジン最適化(SEO)の改変などの高度なソーシャルエンジニアリング手法から始まります。たとえば、Googleなどの検索エンジンに質問を入力すると、ハッキングされたWebサイトが検索結果の上位に表示されます。標的国のユーザーを確実に攻撃するために、このサイバー犯罪者はWebサイトのコードを絶えず書き換えており、攻撃対象の国以外からアクセスしているユーザーには無害なWebコンテンツを表示し、対象の国からアクセスしたユーザーには、問い合わせたトピックに関連する掲示板サイトを偽装したページを表示します。英語、ドイツ語、韓国語でも、偽サイトの見た目は同じになっています。

偽の掲示板サイトには「サイト管理者」からの投稿があり、ダウンロードリンクが貼られています。ダウンロードされるのは、セキュリティ侵害の次の段階を開始する悪意のあるJavascriptファイルです。

この時点から、広範で複雑な回避手法、複数階層にわたる難読化、従来のセキュリティスキャンでは検出できないメモリやレジストリに注入されるファイルレスのマルウェアなどを利用して、攻撃が密かに進行します。Gootloaderは現在、ドイツでは銀行を狙うマルウェアKronosを、米国と韓国ではシステムに侵入した後に実行される攻撃ツール「Cobalt Strike」を配信しています。また、REvilランサムウェアやGootkitトロイの木馬も配信しています。

SophosLabs脅威調査部門担当ディレクターのGabor Szappanosは次のように述べています。「Gootkitの開発者は、その資源と労力を、金融機関を標的とする独自のマルウェアを配信することから、REvilランサムウェアなどのあらゆる種類のペイロードを配信するステルス性の高い複雑なプラットフォームを作成することに移行しているようです。サイバー犯罪者は、新しい配信の仕組み開発するのではなく、これまでに効果を発揮しているソリューションを再利用する傾向にあります。さらに、一部のマルウェアの配信者で見られるようにエンドポイントツールを積極的に攻撃するのではなく、Gootloaderの作成者は最終的な結末を隠す複雑な回避手法を取り入れています。

Gootloaderの作成者は、高い技術力を有するITユーザーも欺くことができるいくつものソーシャルエンジニアリングの手法を使用していますが、インターネットユーザーには危険を察知できるいくつかの警告の兆候があります。これらの兆候には、ユーザーに提供しようとしているアドバイスとは論理的に関連性のない企業のWebサイトがGoogleの検索結果に表示されること、アドバイスが最初の質問で使用した検索語と完全に一致すること、ソフォスの調査で見つかった例と同じ「掲示板」スタイルのページが表示されること、最初のGoogle検索で使用した検索語と完全に一致するテキストとダウンロードリンクが表示されることなどがあります。」

Gootloader攻撃に対する最も効果の高い防御方法は、メモリ内の不審な動作をスキャンし、ファイルレスのマルウェアからも保護できる包括的なセキュリティソリューションです。Windowsユーザーは、Windowsファイルエクスプローラの「既知のファイルタイプの拡張子を非表示」設定をオフにすることもできます。これにより、攻撃者が配信した.zipダウンロードに、.jsファイルが含まれていないか確認できます。FirefoxのNoScriptなどのスクリプトブロックツールは、ハッキングされたWebページがブラウザに表示されないようにして、安全にWebページを閲覧できるようにします。

Sophos Intercept Xは、Cobalt Strikeの配信やプロセスハロウイングの手法による実行中のシステムへのマルウェアの注入など、Gootloaderのようなマルウェアの行動や振る舞いを検出し、ユーザーを保護します。

最初の段階のjavascriptファイルはAMSI/GootLdr-Aとして検出されます。PowerShellローダは、AMSI/Reflect-Hとして検出されます。ソフォスの研究者は、SophosLabs Githubにセキュリティ侵害の痕跡(IoC)を投稿しています。

Gootloaderやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。SophosLabs Uncutでは、ソフォスの研究者が「Mazeの後継となるEgregorランサムウェア」「検出回避に長けた Conti ランサムウェア」など、最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。

その他の参考資料

ソフォスについて

ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。

ソフォスについて

ソフォスは、サイバー攻撃に打ち勝つための高度なセキュリティソリューションのグローバルリーダーです。2025年2月にセキュアワークスを買収し、MDRを中心にAIに最適化されたサービス、テクノロジー、製品を提供するサイバーセキュリティ業界の先駆者として、新たな展開を迎えました。ソフォスは現在、30,000以上の組織をサポートする世界最大のMDR(Managed Detection and Response)プロバイダーとなりました。ソフォスのポートフォリオには、先進的エンドポイントやネットワーク、メール、クラウドセキュリティが含まれ、Sophos Centralプラットフォームを通じて統合的防御を提供しています。セキュアワークスは、Taegis、ID脅威検出と対応(ITDR)、次世代 SIEM、リスク管理、包括的なアドバイザリーサービスを提供しています。ソフォスは、これらすべてのソリューションを、世界中のリセラーパートナー、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)を通じて提供することで、フィッシング、ランサムウェア、データ盗難、などの日常的なサイバー犯罪や、国家主導型サイバー攻撃から世界60万以上の組織を守っています。このソリューションは、Sophos X-Opsによる脅威インテリジェスと、新たに統合されたCounter Threat Unit (CTU) のデータによって強化されます。ソフォスは英国オックスフォードに本社を置いています。詳細は www.sophos.com をご覧ください。