🛡 概要
JavaScript系ローダー型マルウェア「Gootloader」が約7カ月の沈黙を破って再稼働し、検索エンジン最適化(SEO)汚染や広告を悪用して偽の契約書・合意書テンプレート配布サイトへ誘導するキャンペーンを再開しました。被害者がZIPを入手・解凍して.JSファイルを実行すると追加ペイロード(Cobalt Strike、各種バックドア、ボット)が投入され、初期侵入からランサムウェア展開に至るケースが報告されています。最新波では、Webフォントを悪用した文字の見かけ差し替えや、解凍ツールごとに中身が変わって見える不正ZIPなど、解析回避の新手口が確認されています。
🔍 技術詳細
配布経路は、攻撃者管理または侵害済みサイト上の偽テンプレート配布ページです。検索結果で上位表示されるようにSEO汚染や広告を利用し、法務文書(NDA、合意書、契約書など)を探す利用者を誘引します。従来の偽掲示板スタイルに加え、現在はテンプレート配布サイト風のUIで「Get Document」ボタンを押させ、正規ユーザーと判断した訪問者にZIPアーカイブを配布します。このZIPには拡張子.jsのJScriptファイル(例: mutual_non_disclosure_agreement.js, Review_Hearings_Manual_2025.js)が含まれ、実行によりローダーが起動します。
解析回避として、(1) Webフォントで字形を入れ替える手法が用いられ、HTMLソースは無意味な文字列に見えても、描画時には「invoice」「contract」などの通常語に見えるよう表示されます。これはOpenTypeの置換ではなく、字形ベクタ自体を差し替えるため、静的スキャンでキーワード検出が困難になります。(2) 不正に細工されたZIPを使用し、Windows Explorerで展開すると悪性の.jsが現れる一方、VirusTotalやPythonのzipモジュール、7-Zipなどでは無害な.txtのみが展開される挙動が観測されています。中央ディレクトリや重複エントリの扱い差を突いてツールごとに結果を変えることで、自動解析を攪乱します。
感染後は、追加ペイロードのダウンロード(Ingress Tool Transfer)を行い、Cobalt StrikeビーコンやSOCKS5型バックドア「Supper」を設置。Supperはネットワーク内へのリモートアクセス踏み台として機能し、ランサムウェア系アフィリエイト(例: Vanilla Tempest)による横展開・権限昇格・最終暗号化へ進む恐れがあります。観測例では感染から20分で偵察が開始され、約17時間でドメインコントローラに到達したケースが報告されています。
CVSS: 該当なし(脆弱性ではなく、配布・実行手口に基づく脅威)
⚠ 影響
– 初期侵入の踏み台化により、認証情報窃取、横展開、ドメイン支配のリスクが高い
– ランサムウェア展開やデータ窃取・恐喝(二重恐喝)に発展しうる
– 法務・総務部門などが日常的にテンプレートを検索・取得する運用で特にリスク増大
🛠 対策
– ポリシー/ハードニング: 企業端末でのJScript実行を無効化(Windows Script Host無効化、wscript.exe/cscript.exeのAppLocker/WDACでの禁止、拡張子.jsの関連付けをテキストエディタへ変更)
– ASRルール(Microsoft Defender): 「JavaScript/VBScriptによるダウンロード済み実行可能ファイルの起動をブロック」(GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC)、「難読化スクリプトの実行ブロック」(GUID: 3B576869-A4EC-4529-8536-B80A7769E899)を有効化
– Web/DNS制御: 新規登録ドメイン(NRD)や未分類カテゴリ、法務テンプレートを装う不審サイトをブロック。検索広告のクリック制御、SSLインスペクション下でのZIP/JSダウンロード監視
– EDR/監査: Downloads配下の.js出現検知、wscript.exe/cscript.exe/mshta.exeの起動監視とネットワーク接続監査、MOTW(Zone.Identifier)付きスクリプトの実行拒否
– ユーザー教育: テンプレートは信頼済み提供元(官公庁、業界団体、社内ポータル)のみ利用。検索上位=安全ではないことを周知
– インシデント準備: 初期侵入検知時の隔離・資格情報リセット・DC保全・24時間以内の横展開ハントの手順整備
📌 SOC視点
– 重要検知ポイント
1) プロセス作成: explorer.exeを親としてwscript.exe/cscript.exeがユーザープロファイル(Downloads/Temp)上の.jsを実行(Winlogon/4688, Sysmon/1)
2) ファイル監視: MOTW付きZIP解凍直後に.js生成(Sysmon/11, 15)。ZIP解凍後のADS:Zone.Identifierの有無を確認
3) ネットワーク: 初回C2へのHTTP(S) POST/GET、User-Agentの不自然さ、DNSでのNRD照会、SOCKS5プロキシ挙動(外向きポート1080/任意髙番ポート)
4) フォント取得: 不審サイトからの.woff/.woff2大量取得と、CSS内base64埋め込みフォントの出現
5) 既知ツール: Cobalt Strike様のビーコン挙動(不規則ビート、URIランダム化等)をYARA/Σシグネチャで相関
– ハンティングクエリ例(概念): Downloads配下の*.js生成後1時間以内にwscript.exe起動し、外向き接続を伴う事象の抽出。NRDドメインへの初回解決後5分以内のwscript.exe通信の相関
📈 MITRE ATT&CK
– T1608.006(Develop Capabilities: SEO Poisoning): 検索結果を操作して偽テンプレートサイトへ誘導
– T1204.002(User Execution: Malicious File): ZIP内の.JSをユーザーに実行させる手口
– T1059.007(Command and Scripting Interpreter: JavaScript): JScript実行によりローダーが動作
– T1027(Obfuscated/Compressed Files and Information): Webフォントで字形を入替え、ZIPの細工で自動解析回避
– T1105(Ingress Tool Transfer): 追加ペイロード(Cobalt Strike、バックドア)取得
– T1090(Proxy): Supper SOCKS5によりリモートアクセス経路を確立
– T1018/T1046/T1087(Discovery): 感染後20分での偵察開始という観測に合致
– T1021(Remote Services): DC到達までの横展開でリモートサービス悪用が想定
🏢 組織規模別助言
– 小規模(〜50名): 端末標準イメージでJS実行無効化、Defender ASRルール強化、信頼済み法務テンプレート配布を社内ポータルに集約。ブラウザダウンロードでZIP/JSをブロック
– 中規模(50〜500名): WDAC/Applockerのスクリプト実行許可リスト化、SWG/プロキシでNRDブロック、EDRでwscript起動の隔離自動化、週次でDownloads配下の実行可能スキャン
– 大規模(500名〜): コンテンツフィルタとDNSレピュテーションの多層適用、SOARでIOCインジェストと自動封じ込め、ADCS/特権アカウントの分離、疑似フィッシング訓練で検索経由の誘導も想定
🔎 類似事例
– SocGholish(FakeUpdates): SEO汚染で偽更新サイトへ誘導しスクリプト実行を促す手口
– BATLOADER: SEO/広告経由で偽インストーラを配布しCobalt Strikeへ連携
– 2024年のGootloader ZIP細工手口: 連結/中身差異で解析回避(今回の手口と類似の狙い)
🧭 次の一手
– 実運用に効くブロック策の実装順序を解説した「ASRルール適用ガイド」と「WDAC/Applocker最小構成テンプレート」を参照してください。加えて、検索経由のマルバタイジング対策としてSWG/DNSポリシー設計のベストプラクティス記事を続けて読むことを推奨します。
