短い休止期間を経て2025年11月に活動を再開したGootloaderマルウェア・キャンペーンに関する技術的詳細。
分析により、意図的に不正な形式にされたZIPアーカイブに高度な検知回避メカニズムが組み込まれていることが明らかになった。これは自動化されたセキュリティ分析を回避しつつ、Windowsの既定の展開ツールを通じて意図した被害者がアクセスできるよう設計されている。
Gootloaderの脅威アクターは、ランサムウェア運用における初期アクセスブローカーとして長年活動しており、標的システム内に足場を築いた後、二次オペレーターへ制御を引き渡してきた。
Huntressの調査によれば、現在のキャンペーンはRhysidaランサムウェアを積極的に展開する脅威グループVanilla Tempestとの協力を伴っている。
過去データは、Gootloaderマルウェアが以前、企業向けセキュリティソリューションをすり抜けた全マルウェアの11%を占めていたことを示しており、検知回避メカニズムに対して一貫した有効性を示している。
初期感染ベクターは、侵害シーケンスを開始するよう設計された悪意のあるJScriptファイルを含む武器化されたZIPアーカイブに依存している。
これらのアーカイブは、7-ZipやWinRARを含む標準的な展開ユーティリティでは解析できないよう意図的に不正な構造を示す一方で、Windowsのネイティブな解凍機能との互換性は維持している。
この選択的な互換性により、標的となる被害者はペイロードを正常に展開して実行できる一方、自動化されたマルウェア分析ワークフローは妨害される。
技術的な調査により、各GootloaderのZIPアーカイブは500〜1,000個の連結されたZIP構造で構成され、End of Central Directory構造が展開ツールを有効な圧縮コンテンツへ誘導していることが判明した。
これらのアーカイブは、期待されるファイル形式仕様に反して、重要な2バイトが欠落した切り詰められたEnd of Central Directoryレコードによる意図的な破損を示している。
さらに、バージョン番号、更新タイムスタンプ、CRC32チェックサム、ファイルサイズ指標などのメタデータフィールドにはランダム化された値が含まれており、ローカルファイルヘッダーとセントラルディレクトリレコード間で不一致となるため、専用の解析ツールでパース失敗を引き起こす。
フォレンジック分析により、ユーザーはXORでエンコードされたデータブロブを受け取り、ダウンロード中にWebブラウザがそれをデコードし、その後、所定のファイルサイズに達するまで同一のZIP構造を形成するように追記されることが確認された。
このクライアント側生成手法により、転送中に不正形式アーカイブをネットワークベースで検知することが困難になりつつ、被害者システムには数百個の連結ZIP構造が届けられる。
結果として生成されるファイルは、展開すると約287KBの単一JScriptペイロードしか含まないにもかかわらず、70〜80MBのサイズになる。
被害者がダウンロードしたアーカイブからJScriptファイルを展開して実行すると、Windows Script HostはAppData\Local\Tempフォルダー内の一時ディレクトリから悪意のあるコードを処理する。
JScriptは、ランダムに選択されたディレクトリに保存された二次スクリプトを参照するLNKショートカットファイルをWindowsのスタートアップフォルダー内に作成することで永続化を確立する。
Expelが観測した活動によると、二次スクリプトはWindows NTのレガシー互換機能に由来するNTFSの短いファイル名規約を使用し、難読化されたコマンドでCScript経由で実行され、PowerShellプロセスを生成する。
PowerShellの実行チェーンは、追加のPowerShellインスタンスを起動してコマンド&コントロール通信を確立する、強く難読化されたコマンドを伴う。
この実行シーケンス全体に検知の機会が存在し、とりわけ一時ディレクトリからJScriptを実行するWScriptプロセス、NTFS短縮名経由でスクリプトを呼び出すCScript、そしてCScriptが子プロセスとしてPowerShellを生成する異常なプロセス系譜パターンの監視が重要である。
セキュリティチームは、JScriptのファイル拡張子の関連付けをWindows Script Hostではなくメモ帳で開くよう再関連付けするグループポリシーオブジェクトを実装し、ユーザーが悪意のあるスクリプトをダブルクリックした際の自動実行を防止すべきである。
組織は、ローカルファイルヘッダーやEnd of Central Directory構造が1ファイルあたり100回を超えて出現するなど、GootloaderのZIPアーカイブに固有の特徴を検知するYARAルールを展開できる。
翻訳元: https://cyberpress.org/gootloader-malware-low-detection-security-bypass/