GootkitはSunCryptやREvil、Kronos、Cobalt Strikeといったマルウェアを配信することで知られている。Trend Microは2020年にGootkitについてのレポートを公開しており、今回の調査によってGootkitの継続的な開発が行われていることが明らかとなった。

Trend Microは7月27日(米国時間)、「Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike」において、アップデートされたGootkitによるキャンペーンが再び展開されていると伝えた。Gootkitはこれまで悪意のあるファイルをダウンロードさせるためフリーウェアのインストーラを使用していた。だが、発見された新たなGootkitでは法的文書テンプレートを使って、ペイロードをダウンロードさせるようアップデートされていることが判明した。

  • Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike

    Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike

Gootkitはさまざまなペイロードに関連付けられていることから、Access-a-a-Serviceモデルで動作していると推測されている。そのため、さまざまなサイバー犯罪者グループの攻撃に用いられており、システムへの侵入を防ぐために監視する価値があるとされている。

Trend Microの調査によって、新たなGootkitのキャンペーンに2つの顕著なアップデートが行われたことがわかった。判明したアップデートは次のとおり。

  • 侵害されたWebサイトにたどり着かせるため、検索エンジンの検索用語に法的文書のテンプレートを探す時に利用するキーワードを使用
  • 暗号化されたバイナリペイロードにbase64エンコーディングの代わりにカスタムテキスト置換アルゴリズムを使用

Trend Microのセキュリティ専門家は、Gootkitは現在も活動を続けており、その技術を向上させていると警告。サイバー犯罪者グループが引き続きGootkitを悪用していることから、このキャンペーンが有効である証明になっていると指摘している。また、今後他のキャンペーンでGootkitに遭遇する可能性は高いとし、ユーザーをだますための新たな手法が使われる可能性があると述べている。