GootkitはSunCryptやREvil、Kronos、Cobalt Strikeといったマルウェアを配信することで知られている。Trend Microは2020年にGootkitについてのレポートを公開しており、今回の調査によってGootkitの継続的な開発が行われていることが明らかとなった。
Trend Microは7月27日(米国時間)、「Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike」において、アップデートされたGootkitによるキャンペーンが再び展開されていると伝えた。Gootkitはこれまで悪意のあるファイルをダウンロードさせるためフリーウェアのインストーラを使用していた。だが、発見された新たなGootkitでは法的文書テンプレートを使って、ペイロードをダウンロードさせるようアップデートされていることが判明した。
-
Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike
Gootkitはさまざまなペイロードに関連付けられていることから、Access-a-a-Serviceモデルで動作していると推測されている。そのため、さまざまなサイバー犯罪者グループの攻撃に用いられており、システムへの侵入を防ぐために監視する価値があるとされている。
Trend Microの調査によって、新たなGootkitのキャンペーンに2つの顕著なアップデートが行われたことがわかった。判明したアップデートは次のとおり。
- 侵害されたWebサイトにたどり着かせるため、検索エンジンの検索用語に法的文書のテンプレートを探す時に利用するキーワードを使用
- 暗号化されたバイナリペイロードにbase64エンコーディングの代わりにカスタムテキスト置換アルゴリズムを使用
Trend Microのセキュリティ専門家は、Gootkitは現在も活動を続けており、その技術を向上させていると警告。サイバー犯罪者グループが引き続きGootkitを悪用していることから、このキャンペーンが有効である証明になっていると指摘している。また、今後他のキャンペーンでGootkitに遭遇する可能性は高いとし、ユーザーをだますための新たな手法が使われる可能性があると述べている。
