Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ

Gootkit AaaS malware is still active and uses updated tactics

2022/08/02 SecurityAffairs — AaaS (Access-as-a-Service) モデルで動作するマルウェア Gootkit は、侵害されたシステム上に悪意のあるペイロードをドロップする手段として、さまざまな脅威グループに使用されている。Gootkit は、ファイルレス技術を使用して、SunCrypt/REvil (Sodinokibi) /Kronos/Cobalt Strike などの、バンキング・マルウェア/ランサムウェアをドロップすることで知られている。

Gootkit は、以前はフリーウェアのインストーラを装ったマルウェアを配布していたが、現在は法的文書を使用してユーザーを騙し、これらのファイルをダウンロードさせるようになった。 

一連の攻撃は、ユーザーが検索エンジンで特定の情報を検索するところから始まる。攻撃者は、ブラック SEO の手法を用いて、検索結果の中に Gootkit のオペレーターによって侵害された Web サイトを表示させる。

ユーザーがこの Web サイトにアクセスすると、自分の問い合わせへの直接の回答となるフォーラムが表示される。このフォーラムには、感染したシステムのメモリ内に Cobalt Strikeバイナリをドロップし、永続性を確立する悪意のある .js ファイルを含む ZIP アーカイブが格納されていた。

Trend Micro の分析結果には、「ユーザーがこのファイルをダウンロードして開くと、難読化されたスクリプトが生成された。そして、レジストリ・スタッフィングによって、暗号化されたコード群をレジストリにインストールし、永続化のためのスケジュール・タスクが追加された。レジストリ内の暗号化されたコードは、PowerShell を通じて読み込まれ、メモリ上でファイルレスで直接実行される Cobalt Strike バイナリを再構築した。この一連の攻撃は、2020年に報告した動作と依然として一致しているが、いくつかのマイナーなアップデートが行われている。これは、Gootkit Loader が今も活発に開発されており、無防備な被害者を危険にさらすことに成功していることを示唆している」と記されている。

専門家たちは、暗号化されたレジストリが、base64 エンコーディングの代わりに、カスタムテキスト置換アルゴリズムを使用するように変化したことを指摘している。

Source: Trend Micro

被害者のシステムのメモリに直接ロードされた Cobalt Strike バイナリは、Cobalt Strike C2 である IP アドレス 89[.]238[.]185[.]13 への接続が確認されている。

Trend Micro はレポートにおいて、「この事例から得られる重要なポイントは、Gootkit が現在も活発に活動し、その技術を向上させているということだ。脅威者たちが Gootkit を引き続き悪用していることから、この作戦が有効であると証明された。ユーザーは、今後、他のキャンペーンで Gootkit に遭遇する可能性が高く、Gootkit が新しい攻撃の手段を用いる可能性もある。また、この脅威は、SEO ポイズニングが依然として、無防備なユーザーを誘い込む効果的な戦術であることを示唆している。SEO ポイズニングと、侵害された Web サイトの組み合わせは、ユーザーの警戒をかいくぐることができる。このような戦術は、ユーザーの意識の重要性と、サイバースペースを安全に保つための web サイト所有者の責任を強調している」と結論付けている。

RaaS (Ransomware-as-a-Service) の登場に驚いていたら、その後にも、MaaS (Malware-as-a-Service) や、Phishing-as-a-Service (PHaaS)、Exploit-as-a-Service、Crimeware-as-a-Service (CaaS)、Botnet-as-a-Service などが続々と登場という状況です。そして今回は、Access-as-a-Service (AaaS) というわけで、もう、そろそろ、打ち止めで良いのではと思えてきます。6月23日に Conti 解体新書というタイトルの記事をポストしましたが、研究開発部や人事部まである、犯罪組織に成長していたようです。Conti 自身は、解散して分散していきましたが、この分野の産業化は止まらないようです。よろしければ、as-a-Service で検索も、ご利用ください。

%d bloggers like this: