starthome-logo 無料ゲーム
starthome-logo

金融機関を標的とするGootkitマルウェアの配信方法が多様なペイロードを拡散する「Gootloader」プラットフォームに移行

2021年3月17日
<<報道資料>>
ソフォス株式会社

金融機関を標的とするGootkitマルウェアの配信方法が多様なペイロードを拡散する「Gootloader」プラットフォームに移行

~複雑な回避手法を用いて、ランサムウェアなどのさまざまなマルウェアを米国、ドイツ、韓国に配信するGootloader~

※本資料は2021年3月1日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、新しい調査レポート「悪意のあるペイロードの配信メカニズム「Gootloader」」(https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/) を公開しました。このレポートでは、6年間活動してきた金融マルウェアGootkitの配信方法が進化し、ランサムウェアなどのさまざまなマルウェアを配信する複雑でステルス性の高いシステムに発展してきた経緯を詳しく説明しています。ソフォスの研究者は、このプラットフォームを「Gootloader」と命名しました。Gootloaderは、米国、ドイツ、韓国に標的を限定した攻撃を展開し、悪意のあるペイロードを現在も配信しています。過去の攻撃ではフランスのインターネットユーザーも標的にしていました。

Gootloaderの感染チェーンは、ハッキングしたWebサイト、悪意のあるダウンロード、検索エンジン最適化(SEO)の改変などの高度なソーシャルエンジニアリング手法から始まります。たとえば、Googleなどの検索エンジンに質問を入力すると、ハッキングされたWebサイトが検索結果の上位に表示されます。標的国のユーザーを確実に攻撃するために、このサイバー犯罪者はWebサイトのコードを絶えず書き換えており、攻撃対象の国以外からアクセスしているユーザーには無害なWebコンテンツを表示し、対象の国からアクセスしたユーザーには、問い合わせたトピックに関連する掲示板サイトを偽装したページを表示します。英語、ドイツ語、韓国語でも、偽サイトの見た目は同じになっています。

偽の掲示板サイトには「サイト管理者」からの投稿があり、ダウンロードリンクが貼られています。ダウンロードされるのは、セキュリティ侵害の次の段階を開始する悪意のあるJavascriptファイルです。

この時点から、広範で複雑な回避手法、複数階層にわたる難読化、従来のセキュリティスキャンでは検出できないメモリやレジストリに注入されるファイルレスのマルウェアなどを利用して、攻撃が密かに進行します。Gootloaderは現在、ドイツでは銀行を狙うマルウェアKronosを、米国と韓国ではシステムに侵入した後に実行される攻撃ツール「Cobalt Strike」を配信しています。また、REvilランサムウェアやGootkitトロイの木馬も配信しています。

SophosLabs脅威調査部門担当ディレクターのGabor Szappanosは次のように述べています。「Gootkitの開発者は、その資源と労力を、金融機関を標的とする独自のマルウェアを配信することから、REvilランサムウェアなどのあらゆる種類のペイロードを配信するステルス性の高い複雑なプラットフォームを作成することに移行しているようです。サイバー犯罪者は、新しい配信の仕組み開発するのではなく、これまでに効果を発揮しているソリューションを再利用する傾向にあります。さらに、一部のマルウェアの配信者で見られるようにエンドポイントツールを積極的に攻撃するのではなく、Gootloaderの作成者は最終的な結末を隠す複雑な回避手法を取り入れています。

Gootloaderの作成者は、高い技術力を有するITユーザーも欺くことができるいくつものソーシャルエンジニアリングの手法を使用していますが、インターネットユーザーには危険を察知できるいくつかの警告の兆候があります。これらの兆候には、ユーザーに提供しようとしているアドバイスとは論理的に関連性のない企業のWebサイトがGoogleの検索結果に表示されること、アドバイスが最初の質問で使用した検索語と完全に一致すること、ソフォスの調査で見つかった例と同じ「掲示板」スタイルのページが表示されること、最初のGoogle検索で使用した検索語と完全に一致するテキストとダウンロードリンクが表示されることなどがあります。」

Gootloader攻撃に対する最も効果の高い防御方法は、メモリ内の不審な動作をスキャンし、ファイルレスのマルウェアからも保護できる包括的なセキュリティソリューションです。Windowsユーザーは、Windowsファイルエクスプローラの「既知のファイルタイプの拡張子を非表示」設定をオフにすることもできます。これにより、攻撃者が配信した.zipダウンロードに、.jsファイルが含まれていないか確認できます。FirefoxのNoScriptなどのスクリプトブロックツールは、ハッキングされたWebページがブラウザに表示されないようにして、安全にWebページを閲覧できるようにします。

Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx)は、Cobalt Strikeの配信やプロセスハロウイングの手法による実行中のシステムへのマルウェアの注入など、Gootloaderのようなマルウェアの行動や振る舞いを検出し、ユーザーを保護します。

最初の段階のjavascriptファイルはAMSI/GootLdr-Aとして検出されます。PowerShellローダは、AMSI/Reflect-Hとして検出されます。ソフォスの研究者は、SophosLabs Github(https://github.com/sophoslabs)にセキュリティ侵害の痕跡(IoC)を投稿しています。

Gootloaderやその他のサイバー脅威に関する詳細は、SophosLabs Uncut(https://news.sophos.com/ja-jp/category/sophoslabs/sophoslabs-uncut/)を参照してください。SophosLabs Uncutでは、ソフォスの研究者が「Mazeの後継となるEgregorランサムウェア」(https://news.sophos.com/ja-jp/2020/12/15/egregor-ransomware-mazes-heir-apparent-jp/)や「検出回避に長けた Conti ランサムウェア」(https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/)など、最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。

●その他の参考資料

・ソフォスはランサムウェアに関するさまざまなレポートを公開しています。Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。

・タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/

・検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/

・Conti ランサムウェア攻撃への心構えと対策- IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/

・24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービス(https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx)の詳細をご確認ください。

・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx

●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 遠野なぎこさん死去 朝ドラ「すずらん」ヒロイン、バラエティーでも活躍 最近は摂食障害など告白

    2. 遠野なぎこさん死去 自宅マンション周辺では異変も 近隣住民が明かす

    3. ガーシー、みちょぱ反論に対抗で大倉士門の再暴露を投下「士門クズ過ぎる」

    4. 44歳元グラドル、最新全身写真 圧巻ボディに「可愛い」「素敵」絶賛相次ぐ 夫は人気芸人

    5. 死去遠野なぎこさん、MX看板番組「バラダン」で辛口コメ連発の存在感、大谷翔平夫人には嫉妬

    6. 再婚した旦那に不倫されてしまった飯島直子(51)衝撃的過ぎる黒歴史が発覚する事態に

    7. 俳優の遠野なぎこさん死去 自宅で倒れているのを3日に発見

    8. 和田アキ子、田久保真紀伊東市長の疑惑めぐり「学歴」に私見 「田中角栄さんは確か…」

    9. 遠野なぎこさんは虐待母と絶縁…最期は自死、葬式に参列もせず「悲しいとか一切なかった」

    10. 小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」

    1. 遠野なぎこさん死去 朝ドラ「すずらん」ヒロイン、バラエティーでも活躍 最近は摂食障害など告白

    2. ゲーミングPCを買う場所は店舗購入とネット通販どっちがおすすめ?

    3. 52歳ぶりっこタレントさとう珠緒、入浴ショットを大放出「目のやり場に困ります」「セクシー」

    4. 遠野なぎこさん死去 自宅マンション周辺では異変も 近隣住民が明かす

    5. ガーシー、みちょぱ反論に対抗で大倉士門の再暴露を投下「士門クズ過ぎる」

    6. 44歳元グラドル、最新全身写真 圧巻ボディに「可愛い」「素敵」絶賛相次ぐ 夫は人気芸人

    7. 死去遠野なぎこさん、MX看板番組「バラダン」で辛口コメ連発の存在感、大谷翔平夫人には嫉妬

    8. 再婚した旦那に不倫されてしまった飯島直子(51)衝撃的過ぎる黒歴史が発覚する事態に

    9. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    10. 俳優の遠野なぎこさん死去 自宅で倒れているのを3日に発見

    Tips

    1. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    2. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 参政・神谷代表、政権入り「今すぐは目指していない」 衆院選見据え

    2. 40歳タレントの群馬愛にさんま&マツコが猛追及「高崎市長目当てだろ」「詐欺師」

    3. 無所属新人の尾辻朋実氏が当選確実 自民候補破る 参院鹿児島選挙区

    4. ドジャース名物リポーター、前日お披露目のド派手グラデーションドレス公開 オレンジに染まる

    5. 【阪神】湯浅京己3勝目、今季3度目の回またぎ2回1安打0封「今日は絶対抑えようと」前回雪辱

    6. 【高校野球】市和歌山が8強進出 4番で主将の川辺謙信が4の4で獅子奮迅の活躍/和歌山

    7. 【ソフトバンク】近藤健介2戦連続で適時二塁打「自分のスイングをすることだけを考えました」

    8. リュウジ氏、GACKTに反論「ここだけどういった意図?」食の安全巡り

    9. 石破首相、続投する意欲を示唆 「現状において比較第1党の議席数」

    10. 【柏】PK失敗にパスミス…痛恨続きで首位陥落 DF古賀太陽「試合を壊してしまった」

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.