特定のサイバー犯罪グループ ランサムウェア ギャング、ボットネット オペレーター、金融詐欺師などは、その攻撃と操作に特別な注目を集めています。 しかし、デジタル犯罪の根底にあるより大きなエコシステムには、本質的にこれらの犯罪者の顧客にサポート サービスを販売する一連のアクターや悪意のある組織が含まれています。 今日、セキュリティ会社 eSentire の研究者は、 明らかにする 企業やその他の組織を危険にさらし、そのデジタルアクセスを他の攻撃者に販売する、長年の犯罪企業の運営を妨害する方法。
「サービスとしての初期アクセス」操作として知られる「Gootloader」マルウェアとその背後にいる犯罪者は、何年にもわたって侵害と詐欺を行ってきました。 Gootloader ギャングは、被害者の組織に感染し、ランサムウェア、データ窃盗のメカニズム、または標的をより深く侵害するその他のツールなど、侵害された標的ネットワークに顧客の好みのマルウェアを配信するためのアクセスを販売します。 たとえば、eSentire の研究者は、Gootloader ページ データの追跡から、悪名高いロシアを拠点とするランサムウェア ギャング REvil が 2019 年から 2022 年にかけて定期的に Gootloader と連携して被害者への初期アクセスを取得したという証拠を収集しました。 他の研究者 もつ 気がついた 同じように。
eSentire の主任セキュリティ研究者である Joe Stewart と上級脅威研究者である Keegan Keplinger は、ライブの Gootloader Web ページと以前に感染したサイトを追跡する Web クローラーを設計しました。 現在、2 人は約 178,000 のライブ Gootloader Web ページと、過去に Gootloader に感染したと思われる 100,000 以上のページを確認しています。 で 回顧勧告 昨年、米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシーは、Gootloader が 2021 年の上位 10 種のマルウェアと並んで上位のマルウェア種の 1 つであると警告しました。
Stewart と Keplinger は、Gootloader のアクティビティと操作を経時的に追跡することで、Gootloader がその追跡をどのようにカバーし、防御者がネットワークの感染を防ぐために悪用できる検出を回避しようとする試みの特徴を特定しました。
「Gootloader システムとマルウェアがどのように機能するかを深く掘り下げると、彼らの運用に影響を与えるこれらの小さな機会をすべて見つけることができます」と Stewart 氏は言います。 「あなたが私の注意を引くと、私は物事に夢中になります。マルウェアの作成者は、研究者があなたの操作に完全に飛び込むことを望んでいるので、それはあなたが望んでいないことです。」
アウト・オブ・サイト、アウト・オブ・マインド
Gootloader は、Gootkit として知られるバンキング型トロイの木馬から進化したもので、2010 年から主にヨーロッパで標的に感染していました。Gootkit は通常、フィッシング メールや汚染された Web サイトを通じて配布され、クレジット カード データや銀行口座のログイン情報などの金融情報を盗むように設計されていました。 しかし、2020 年に始まった活動の結果として、スパイウェアやランサムウェアを含む一連の犯罪ソフトウェアを配布するためにマルウェア配信メカニズムがますます使用されるようになったため、研究者は Gootloader を個別に追跡しています。
Gootloader オペレーターは、侵害されたドキュメント、特にテンプレートやその他の一般的なフォームへのリンクを配布することで知られています。 ターゲットがリンクをクリックしてこれらのドキュメントをダウンロードすると、意図せずに自分自身を Gootloader マルウェアに感染させます。 ダウンロードを開始するターゲットを取得するために、攻撃者は検索エンジン最適化ポイズニングと呼ばれる戦術を使用して、正当なブログ、特に WordPress ブログを侵害し、悪意のあるドキュメント リンクを含むコンテンツを密かに追加します。
Gootloader は、汚染されたブログ投稿への接続をさまざまな特徴で選別するように設計されています。 たとえば、侵害された WordPress ブログに誰かがログインした場合、管理者権限を持っているかどうかに関係なく、悪意のあるリンクを含むブログ投稿を見ることができなくなります。 また、Gootloader は、関連する WordPress アカウントにログインしたアドレスに数値的に近い IP アドレスも永久にブロックします。 これは、同じ組織内の他のユーザーが悪質な投稿を見ないようにするためです。