Gootkit Malware Continues to Evolve with New Components and Obfuscations
2023/01/29 TheHackerNews — マルウェア Gootkit を操る脅威アクターは、そのツールセットを新たなコンポーネントで強化し、難読性の高い感染チェーンを構築している。Google 傘下の Mandiant は、UNC2565 という名称で Gootkit の活動を監視しているが、このグループだけが独占して使用するマルウェアであることを指摘している。Gootkit は、Gootloader とも呼ばれ、検索エンジン最適化 (SEO) ポイズニングと呼ばれる手法により、合意書や契約書などのビジネス関連文書を検索する人々を騙して、危険な Web サイトへと誘導することで拡散していく。
この文書と称するものは、JavaScript マルウェアを格納した ZIPアーカイブ の形式をとり、起動すると Cobalt Strike Beacon/FONELAUNCH/SNOWCONE などの新たなペイロードが追加されるようになる。
FONELAUNCH は、エンコードされたペイロードをメモリにロードするように設計された .NET ベースのローダーであり、SNOWCONE は、次の段階のペイロード (通常はIcedID) を HTTP 経由で取得するダウンローダーである。
Gootkit の全体的な目標に変化はないが、攻撃の手順は大幅に更新されており、ZIP アーカイブ内の JavaScript ファイルがトロイの木馬化されている。その結果として、マルウェアを実行するための、難読化された新たな JavaScript ファイルが含まれるようになった。
この新しい亜種は、2022年11月に Mandiant が発見したものであり、GOOTLOADER.POWERSHELL として追跡されている。なお、この刷新された感染チェーンは、今月の初めにも Trend Micro により検出され、また、オーストラリアの医療セクターを標的とした Gootkit 攻撃の詳細が報告されている。
さらに、このマルウェアの作者は Gootkit を隠すために、jQuery/Chroma.js/Underscore.js といった正規の JavaScript ライブラリの改変バージョン内にコードを隠すといった、3種類のアプローチをとることで検知を逃れようとしている。
2021年5月以降において UNC2565 は、FONELAUNCH.FAX/FONELAUNCH.PHONE/FONELAUNCH.DIALTONE といった3種類のフレーバーを用いて DLL/.NET バイナリ/PE ファイルを実行しており、兵器として継続して維持/更新されていることが示されている。
Mandiant の研究者である Govand Sinjari と Andy Morales は、「これらの変更は、UNC2565 の活発な開発と、能力の伸びを示すものだ」と述べている。
2022/08/02 に「Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ」という記事をポストしています。そこでは、「Gootkit は、以前はフリーウェアのインストーラを装ったマルウェアを配布していたが、現在は法的文書を使用してユーザーを騙し、これらのファイルをダウンロードさせるようになった」と解説されています。また、2022/11/09 には「Google 検索と 悪意の SEO:汚染されたサイト 15,000 件の大半は WordPress」という記事をポストしていますが、そのキャンペーンは、未確認の脅威アクターによるものでした。Gootkit との関連性は分かりませんが、誰もが引っかかる可能性のあるフィッシングであり、警戒が必要ですね。
IoT OT Security News 
You must be logged in to post a comment.