- Gootloaderマルウェアが9か月の沈黙を破り2025年10月下旬に再出現、ランサムウェア攻撃の足掛かりに利用
- カスタムWebフォント内に隠された悪意あるJavaScript経由で配信され、ステルス性の高いリモートアクセスや偵察を可能に
- Storm-0494およびVice Societyと関連付けられ、一部のケースでは攻撃者が1時間以内にドメインコントローラーへ到達
9か月の活動休止を経て、Gootloaderとして知られるマルウェアが本格的に再登場し、ランサムウェア感染への足掛かりとして利用されている可能性があります。
サイバーセキュリティ研究者Huntressの報告によると、2025年10月27日から11月初旬にかけて「複数の感染」が観測されました。それ以前にGootloaderが確認されたのは2025年3月が最後でした。
新たなキャンペーンでは、GootloaderはStorm-0494として知られるグループや、その下流オペレーターであるVanilla Tempest(別名Vice Society)によって利用された可能性が高いとされています。ランサムウェアグループであるVice Societyは2021年半ばに初めて観測され、主に教育・医療分野を標的とし、時折製造業にも攻撃を行っています。
カスタムフォントにマルウェアを隠す
Gootloaderは、侵害されたウェブサイトから悪意あるJavaScriptを配信するために使われたと研究者は説明しています。このスクリプトは攻撃者に企業のWindowsマシンへのリモートアクセスを与えるツールをインストールし、アカウント乗っ取りやランサムウェア展開などの後続アクションを可能にします。
Gootloaderは、悪意のあるファイル名やダウンロード手順をカスタムWebフォント(WOFF2)内に隠し、ブラウザ上ではページが通常通りに見える一方で、生のHTMLでは意味不明なテキストが表示されるようにしていました。被害者が侵害されたページを開くと、ブラウザはフォントを使って不可視または乱れた文字を可読なものに置き換え、実際のダウンロードリンクやファイル名はレンダリング時にのみ明らかになります。
このキャンペーンの目的は、確実な初期アクセスを得て、標的ネットワークを迅速に把握・制御し、そのアクセス権をランサムウェアオペレーターに引き渡すことです。全工程はできる限り迅速に行われ、主に自動化された偵察やリモートコントロールツールを使って高価値ターゲットの特定、特権アカウントの作成、ランサムウェア展開の準備が進められます。
Huntressによれば、場合によっては攻撃者が数時間以内にドメインコントローラーへ到達した例もあります。初期の自動偵察は悪意あるJavaScriptが実行されてから10~20分以内に始まることが多く、複数の事例で運用者は最短17時間でドメインコントローラーへのアクセスを達成しました。少なくとも1つの環境では1時間以内に到達しています。
Gootloaderへの対策としてHuntressは、ウェブブラウザからの予期しないダウンロード、スタートアップ場所に見慣れないショートカットが現れる、ブラウザからの突然のPowerShellやスクリプトの動作、不審な外向きプロキシのような通信など、初期兆候に注意することを推奨しています。
