金融機関を標的とするGootkitマルウェアの配信方法が多様なペイロードを拡散する「Gootloader」プラットフォームに移行
- 2021年03月17日 15:30:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
金融機関を標的とするGootkitマルウェアの配信方法が多様なペイロードを拡散する「Gootloader」プラットフォームに移行
~複雑な回避手法を用いて、ランサムウェアなどのさまざまなマルウェアを米国、ドイツ、韓国に配信するGootloader~
※本資料は2021年3月1日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、新しい調査レポート「悪意のあるペイロードの配信メカニズム「Gootloader」」(https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/) を公開しました。このレポートでは、6年間活動してきた金融マルウェアGootkitの配信方法が進化し、ランサムウェアなどのさまざまなマルウェアを配信する複雑でステルス性の高いシステムに発展してきた経緯を詳しく説明しています。ソフォスの研究者は、このプラットフォームを「Gootloader」と命名しました。Gootloaderは、米国、ドイツ、韓国に標的を限定した攻撃を展開し、悪意のあるペイロードを現在も配信しています。過去の攻撃ではフランスのインターネットユーザーも標的にしていました。
Gootloaderの感染チェーンは、ハッキングしたWebサイト、悪意のあるダウンロード、検索エンジン最適化(SEO)の改変などの高度なソーシャルエンジニアリング手法から始まります。たとえば、Googleなどの検索エンジンに質問を入力すると、ハッキングされたWebサイトが検索結果の上位に表示されます。標的国のユーザーを確実に攻撃するために、このサイバー犯罪者はWebサイトのコードを絶えず書き換えており、攻撃対象の国以外からアクセスしているユーザーには無害なWebコンテンツを表示し、対象の国からアクセスしたユーザーには、問い合わせたトピックに関連する掲示板サイトを偽装したページを表示します。英語、ドイツ語、韓国語でも、偽サイトの見た目は同じになっています。
偽の掲示板サイトには「サイト管理者」からの投稿があり、ダウンロードリンクが貼られています。ダウンロードされるのは、セキュリティ侵害の次の段階を開始する悪意のあるJavascriptファイルです。
この時点から、広範で複雑な回避手法、複数階層にわたる難読化、従来のセキュリティスキャンでは検出できないメモリやレジストリに注入されるファイルレスのマルウェアなどを利用して、攻撃が密かに進行します。Gootloaderは現在、ドイツでは銀行を狙うマルウェアKronosを、米国と韓国ではシステムに侵入した後に実行される攻撃ツール「Cobalt Strike」を配信しています。また、REvilランサムウェアやGootkitトロイの木馬も配信しています。
SophosLabs脅威調査部門担当ディレクターのGabor Szappanosは次のように述べています。「Gootkitの開発者は、その資源と労力を、金融機関を標的とする独自のマルウェアを配信することから、REvilランサムウェアなどのあらゆる種類のペイロードを配信するステルス性の高い複雑なプラットフォームを作成することに移行しているようです。サイバー犯罪者は、新しい配信の仕組み開発するのではなく、これまでに効果を発揮しているソリューションを再利用する傾向にあります。さらに、一部のマルウェアの配信者で見られるようにエンドポイントツールを積極的に攻撃するのではなく、Gootloaderの作成者は最終的な結末を隠す複雑な回避手法を取り入れています。
Gootloaderの作成者は、高い技術力を有するITユーザーも欺くことができるいくつものソーシャルエンジニアリングの手法を使用していますが、インターネットユーザーには危険を察知できるいくつかの警告の兆候があります。これらの兆候には、ユーザーに提供しようとしているアドバイスとは論理的に関連性のない企業のWebサイトがGoogleの検索結果に表示されること、アドバイスが最初の質問で使用した検索語と完全に一致すること、ソフォスの調査で見つかった例と同じ「掲示板」スタイルのページが表示されること、最初のGoogle検索で使用した検索語と完全に一致するテキストとダウンロードリンクが表示されることなどがあります。」
Gootloader攻撃に対する最も効果の高い防御方法は、メモリ内の不審な動作をスキャンし、ファイルレスのマルウェアからも保護できる包括的なセキュリティソリューションです。Windowsユーザーは、Windowsファイルエクスプローラの「既知のファイルタイプの拡張子を非表示」設定をオフにすることもできます。これにより、攻撃者が配信した.zipダウンロードに、.jsファイルが含まれていないか確認できます。FirefoxのNoScriptなどのスクリプトブロックツールは、ハッキングされたWebページがブラウザに表示されないようにして、安全にWebページを閲覧できるようにします。
Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx)は、Cobalt Strikeの配信やプロセスハロウイングの手法による実行中のシステムへのマルウェアの注入など、Gootloaderのようなマルウェアの行動や振る舞いを検出し、ユーザーを保護します。
最初の段階のjavascriptファイルはAMSI/GootLdr-Aとして検出されます。PowerShellローダは、AMSI/Reflect-Hとして検出されます。ソフォスの研究者は、SophosLabs Github(https://github.com/sophoslabs)にセキュリティ侵害の痕跡(IoC)を投稿しています。
Gootloaderやその他のサイバー脅威に関する詳細は、SophosLabs Uncut(https://news.sophos.com/ja-jp/category/sophoslabs/sophoslabs-uncut/)を参照してください。SophosLabs Uncutでは、ソフォスの研究者が「Mazeの後継となるEgregorランサムウェア」(https://news.sophos.com/ja-jp/2020/12/15/egregor-ransomware-mazes-heir-apparent-jp/)や「検出回避に長けた Conti ランサムウェア」(https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/)など、最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。
●その他の参考資料
・ソフォスはランサムウェアに関するさまざまなレポートを公開しています。Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。
・タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/
・検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/
・Conti ランサムウェア攻撃への心構えと対策- IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/
・24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービス(https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx)の詳細をご確認ください。
・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
大谷翔平、幻の真美子夫人の始球式の裏話明かす「そっちの方が良いんじゃないかなっていう感じ」
大谷翔平に微妙判定のウェンデルステット氏 米サイトで平均的な数値も大谷見逃し三振は「誤審」
つばさの党、田村淳さんらの自宅特定し街宣 否定的見解に反発か
修学旅行の引率中、TDLでわいせつ容疑 甲府の小学校教諭逮捕
ドジャース大谷翔平、4盗塁を決めたレッズ・デラクルスに警戒感「もちろん素晴らしい選手」
浜田雅功「DX」まさかの取材NG、地元尼崎の同級生営むお店から拒否されテロップで補足説明
木梨憲武「朝3時半に起きてジムでお風呂」あさイチのスタッフに「朝マック20個」差し入れ
田中みな実「まさか駅の看板に顔が…」 京急蒲田駅が京急蒲タコハイ駅に、英語でのアナウンスも
またジョジョ婚!「増田朋弥さんもおめでとうございます」岸辺露伴シリーズ出演者がおめでた
レッズ・デラクルスが44試合目で30盗塁到達 4安打4盗塁はイチロー以来14年ぶり
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
時代劇の常識を覆す!仇討ち・無礼討ちの厳格なルール
吉野家が「マスク外し強要疑惑」でプチ炎上、店員さんに聞いてみると……
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
藤田ニコル「脱ぐ予定なかったのですが気づいたらノリノリで…」ヒョウ柄水着姿に大反響
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
3度逮捕の38歳小向美奈子「今はやってないですよね?」の直撃質問に”回答”
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
73歳神田正輝「旅サラダ」生放送で“12歳下俳優”から呼び捨てされ激論
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
大谷翔平、幻の真美子夫人の始球式の裏話明かす「そっちの方が良いんじゃないかなっていう感じ」
大谷翔平に微妙判定のウェンデルステット氏 米サイトで平均的な数値も大谷見逃し三振は「誤審」
つばさの党、田村淳さんらの自宅特定し街宣 否定的見解に反発か
修学旅行の引率中、TDLでわいせつ容疑 甲府の小学校教諭逮捕
ドジャース大谷翔平、4盗塁を決めたレッズ・デラクルスに警戒感「もちろん素晴らしい選手」
浜田雅功「DX」まさかの取材NG、地元尼崎の同級生営むお店から拒否されテロップで補足説明
木梨憲武「朝3時半に起きてジムでお風呂」あさイチのスタッフに「朝マック20個」差し入れ
田中みな実「まさか駅の看板に顔が…」 京急蒲田駅が京急蒲タコハイ駅に、英語でのアナウンスも
またジョジョ婚!「増田朋弥さんもおめでとうございます」岸辺露伴シリーズ出演者がおめでた
レッズ・デラクルスが44試合目で30盗塁到達 4安打4盗塁はイチロー以来14年ぶり