長期にわたる休眠期間を経て、悪意あるGootloaderが再び脅威情勢の最前線に浮上しました。この再興キャンペーンは昨年11月にHuntress チームによって綿密に記録され、活動は、Rhysidaランサムウェアの展開で悪名高いVanilla Tempest集団に以前関与していた開発者によるものだとされています。
これらの初期のGootloader亜種に関するその後の技術的な事後分析は、設計者が初期アクセス提供者としての従来の役割に回帰した一方で、はるかに高度な難読化戦術によって強化されていることを明らかにしています。この更新された手法の特徴は、表面上は破損しているように見える異常なZIPアーカイブの利用です。この仕掛けは、自動サンドボックスやアンチウイルスのヒューリスティック解析を回避するために特別に設計されており、同時に被害者ホスト上での実行に必要な機能的整合性は維持されています。
Gootloaderの配布ベクターは、当該ZIPアーカイブ内に封入されたJScriptファイルに依然として根差しています。起動されると、スクリプトはPowerShellインスタンスを起動し、システムに対する永続的な支配を確立します。しかし、このキャンペーンを際立たせているのはZIPアーカイブの構造上の特異性です。ファイルは何百もの連結されたZIP断片で構成されており、これは解凍ロジックが通常ファイル末尾から開始されるという事実を利用した手口です。断片の数は変動するため、各ペイロードは暗号学的に一意となり、静的なファイルハッシュに基づく検知を事実上無力化します。
さらに、これらのアーカイブは標準のZIP仕様を露骨に逸脱しています。必須の「end of central directory」バイトが欠落しているほか、ディスク番号や更新タイムスタンプといったフィールドにはランダムな値が埋め込まれています。この構造的な不正形式により7-ZipやWinRARのような従来ツールは機能停止しますが、逆説的にWindowsネイティブの解凍エンジンは妨げられません。結果として、ペイロードは不用意なユーザーによって実行可能なまま、ほとんどの自動化されたセキュリティ検査からは不透明な存在となります。
開発者の思想は秘匿された永続性に根差しています。欺瞞的なアーカイブに加え、内部のJScriptファイルは無害なコードの数千行に覆い隠され、その中に有害な命令が密かに埋め込まれています。ユーザーが手動で展開しないため、実行は通常Windowsの一時ディレクトリ内で行われます。この挙動は重要なテレメトリのシグネチャとなります。セキュリティ担当者は、wscript.exeがAppData\Local\Tempディレクトリから起動されること、またはスタートアップフォルダー内に不審な.LNKファイルが出現することを監視できます。
特筆すべき点として、感染の第2段階ではレガシーなNTFS短いファイル名(8.3ファイル名)が悪用されます。これは現代の環境では侵害指標として際立つ、名残の形式です。さらに、CScriptからPowerShellへと連鎖する特徴的なプロセス系譜は、振る舞い検知の追加の機会を提供します。
防御を強化するため、JScriptファイルがWScript経由ではなくテキストエディタで開かれるよう、システムの既定動作を再調整することが推奨されます。さらに、運用要件として厳密に必要でない限り、WScriptおよびCScriptの実行は厳しく制限するか、完全に禁止すべきです。不正形式ZIPアーカイブの技術的な複雑さにもかかわらず、専門家は、この初期段階こそが、より破壊的なランサムウェア構成要素が解き放たれる前に感染チェーンを断ち切る最も好機であると強調しています。
