Gootloaderとは
Gootloaderは2020年から活動しているJavaScriptベースのマルウェアであり、脅威アクターが初期アクセスを得るために使用します。このマルウェアはGootloader感染を利用してVanilla Tempestを可能にするStorm-0494と関連しており、最終的にさまざまなランサムウェアファミリーの展開につながることが多いです。
Gootloaderは法律事務所、会計事務所、金融関連企業を標的とし、これまでに米国、カナダ、ドイツ、フランス、韓国の組織に影響を与えています。
初期アクセスはSEO poisoningや正規サイトが侵害され、正規文書を装った難読化されたJavaScriptがホストされることで行われます。このローダーはWordPressのコメントエンドポイントを利用して、ファイル名から生成される固有キーでXOR暗号化されたZIPファイルを配布し、サンドボックス環境では無害に見えますが、実際のシステム上ではJavaScriptペイロードが実行されます。高度に難読化されたJavaScriptおよびVBScriptは第二段階のPowerShellスクリプトを呼び出し、このスクリプトは環境変数やウィンドウ情報の収集、KerberoastingおよびSPNスキャンを含むActive Directory列挙を実行することで偵察を行います。
永続化についてはWindows8.3形式の短いファイル名を利用して、StartupフォルダおよびAppDataフォルダにショートカットファイルを配置することで実現されます。権限昇格については新しいドメインアカウントを作成し、それらをドメインおよびローカル管理者グループに追加することで実施されます。横展開については列挙処理によって特権ユーザーとシステムを識別した後、WinRMを通じて行われます。コマンド&コントロールについてはSupper SOCKS5バックドアによって維持され、暗号化通信、プロキシ、リモートシェルアクセスが強力な難読化とともに可能になります。また、検知からの回避手法として、API hammering、プロセスインジェクション、イベントログの消去が使用され、機密性の高いシステムおよびユーザーデータは圧縮され、エンコードされ、攻撃者が管理するチャネルへ流出されます。
Gootloaderはメモリ上のみで実行され、SEO poisoningを利用するため、極めて発見が難しく危険性の高い脅威であり、積極的な検知とユーザーの注意喚起による対策が必要です。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- OEMに従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的な全方位の脅威評価演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
