Gootloaderマルウェアの再出現と高度な回避技術
「Gootloader」マルウェアが再び活動を開始し、その高度な回避技術で多くのセキュリティツールをすり抜けています。Storm-0494とVanilla Tempestの提携として追跡されているこのGootloaderマルウェアキャンペーンは、2025年後半に検出を回避する驚異的な能力を伴って復活しました。この脅威は、意図的に不正な形式のZIPアーカイブという特殊な配信メカニズムを通じて動作し、自動分析を阻止しつつ、Windowsを実行している被害者システム上では実行可能であり続けるように設計されています。
このアーキテクチャ的アプローチは、ハッシュバスターとカスタム難読化技術と組み合わされることで、Gootloaderがエンタープライズセキュリティツール全体で一貫して低い検出率を維持している理由を説明しています。
防御回避兵器としてのZIPアーカイブ
Gootloaderを受信すると、ユーザーはJScriptファイルを含む標準的なZIPファイルのように見えるものをダウンロードします。しかし、このアーカイブは検出ギャップを生み出すために意図的に不正な形式になっています。ZIP形式はディレクトリ構造をファイルの最後に保存するため、ツールはファイルの後方から逆向きに読み込み、内容を解釈します。
Gootloaderはこのアーキテクチャの詳細を悪用し、500〜1,000個の同一のZIPアーカイブを連続して連結します。ZIPパーサーはファイルの最後から開始するため、最後のアーカイブのディレクトリのみが読み込まれ、数百個の先行する構造は未使用のままになります。その結果、Windowsのネイティブアーカイブ解除ツールを使用している被害者システムは悪意のあるJScriptを正常に抽出する一方で、7-Zip、WinRAR、さらにはVirusTotalの抽出ユーティリティのような専門的な分析ツールは失敗するか、破損した出力を生成します。
アーカイブの「セントラルディレクトリの終わり (End of Central Directory)」構造はさらに切り詰められており、標準化された形式仕様から2つの重要なバイトが欠落しています。この切り詰めは、アーカイブの整合性を検証しようとするツールで解析エラーを引き起こします。さらに、Gootloaderは「ディスク番号」や「ディスク数」といった重要でないヘッダーフィールドをランダム化し、特定のアーカイブ解除ユーティリティに存在しないマルチパートアーカイブを期待させます。これらの変更が組み合わさることで、研究者が「ハッシュバスター」防御と呼ぶものが生まれます。Gootloaderをダウンロードするすべてのユーザーは暗号学的に一意のファイルを受け取り、署名ベースの検出を無効にします。
防御者にとっての重要性
Gootloaderの開発者は、少なくとも2020年以降、ランサムウェア操作に関与しており、初期アクセスを担当しています。彼らの責任は、防御を回避し、正常に実行される動作マルウェアを配信することです。以前の数年間では、Gootloaderマルウェアは、エンタープライズセキュリティツールを回避して観察されたすべてのマルウェアの約11%を占めていました。Malcatの異常検出エンジンは、ZIPアーカイブのもう一つの問題、つまりローカルファイルのメタデータとセントラルディレクトリの複数の要素の不一致を浮き彫りにしました。
2025年11月のキャンペーン再開は、Storm-0494と脅威アクターVanilla Tempest(現在Rhysidaランサムウェアを展開中)の協力の後に行われ、この能力が犯罪エコシステム内で高く評価され続けていることを示しています。Huntressによる最近の観察では、追加の高度化が明らかになっています。アクターは現在、Z85エンコーディングを使用してカスタムWOFF2フォントファイルをJavaScriptコード内に埋め込み、ソースコードでは意味不明な文字シーケンスに見えるものが、ブラウザでレンダリングされると正当なファイル名に変換されます。この技術は静的文字列分析を打ち破り、「invoice」、「contract」、「agreement」といったキーワード検索では何も返されません。なぜなら、これらの単語はソースコード自体には存在せず、実行時に置換されたグリフとしてのみ存在するからです。実用的な結果として、従来のコンテンツ検査は失敗します。
マルウェアの永続化と攻撃シーケンス
JScriptが実行されると(通常、悪意のあるファイルをダブルクリックした後、Windows Script Host経由で)、新しく変更されたアプローチを通じて永続性を確立します。マルウェアは、2つのショートカットファイル(.LNK)と追加のJScriptファイルをユーザーのAppDataディレクトリとスタートアップフォルダにドロップします。注目すべきは、ショートカットがWindows 8.3ショートファイル名(「Molecular Ecology.lnk」の代わりに「MOLECU1.LNK」のようなレガシーエイリアス)を使用してそのターゲットを参照している点です。これらのショートファイル名参照は、古いシステムとの互換性のためにNTFSによって自動的に生成されますが、現代の環境ではめったに現れないため、監視に値する行動異常を生み出します。
攻撃シーケンスは驚くべき速さで発生します。デプロイされたバックドア(Supper SOCKS5)からの偵察は、実行後20分以内に開始されます。ドメインコントローラーの侵害は、初期感染から17時間以内に観察されており、攻撃者は特権アカウントを作成し、ボリュームシャドウコピーの列挙を実行できます。これは、ランサムウェア展開前の典型的な先行活動です。
防御者への推奨事項
- Gootloaderがペイロードを継続的にハッシュ化していることを踏まえ、静的署名に頼るのではなく、動的な検出手法を導入するべきです。
- 特に100個以上の連結されたアーカイブ構造と切り詰められたセントラルディレクトリの終わりレコードを持つファイルなど、異常なZIPアーカイブの特性を監視することは、早期検出のベクトルを提供します。
- ZIP抽出がデフォルトで発生する
AppData\Local\TempディレクトリからJScriptファイルを実行するWScriptを監視し、プロセス監視を行うべきです。 - さらに、
.JSファイルのデフォルトの関連付けアプリケーションをWindows Script Hostからメモ帳に変更することで、偶発的な実行を防ぎつつ、経験豊富なユーザー向けの正当なスクリプト機能を維持できます。