Source:https://thehackernews.com/2025/11/gootloader-is-back-using-new-font-trick.html
🛡 概要
JavaScript系ローダー「GootLoader」が活動を再加速しています。Huntressの最新観測では、2025年10月27日以降に3件の侵害を確認し、うち2件は初期感染から17時間以内に攻撃者が手動操作へ移行、ドメインコントローラ(DC)まで横展開されました。今回の波では、WordPressのコメント関連エンドポイントを悪用し、ZIPをXORで暗号化して配布。さらにWOFF2カスタムフォントでファイル名を視覚的に偽装する新手法が導入され、静的解析や目視チェックを回避します。過去の報告どおり、最終的にSupper(SocksShell/ZAPCAT)バックドアやAnyDesk等を介し、ランサムウェア配布の足掛かりになり得ます。CVSS:該当なし(脆弱性の悪用ではなく機能の濫用)。
🔍 技術詳細
配布は検索エンジン最適化(SEO)汚染や広告誘導を用いた「合法文書テンプレート」検索者の狙い撃ちで、妥当性のある語句(例:特定州・インフラ関連用語)で上位表示された侵害WordPressへ転送します。コメント機能のエンドポイントを配送チャネル化し、各ファイルごとに異なる鍵でXOR暗号化したZIPを返すため、単純なシグネチャやハッシュ照合では検出が揺らぎます。最大の新要素は、カスタムWOFF2フォントを用いたグリフ置換です。HTML/JS内にZ85(Base85系)でエンコードしたフォントを直接埋め込み、ブラウザ上では可読な「文書名.pdf」に見せつつ、ソース表示やコピーでは不可読文字列に見えるよう視覚層で偽装します。結果として、アナリストの目視検証や静的ツールが誤判断しやすくなります。
ZIPにはツール差異を突く細工が加えられており、VirusTotal、PythonのZIPユーティリティ、7‑Zip等では無害に見えるTXTに展開される一方、Windows Explorerでは有効なJavaScript(.js)として抽出される事例が確認されています(Huntressの分析)。ユーザーが当該JSを実行すると、Supper(SocksShell/ZAPCAT)バックドアが導入され、SOCKS5プロキシ機能と遠隔シェルで持続的なC2を確立。事例によってはWinRM(Windows Remote Management)を使ってDCへ横展開し、管理者権限を持つ新規ドメインアカウントを作成する行為が観測されています。GootLoader自体はHive0127(UNC2565)と紐付けられ、Microsoftは過去報告でStorm‑0494→Vanilla Tempestへのアクセス移譲、SupperやAnyDesk投入、最終的なINCランサムウェア展開のチェーンを示しています。
⚠ 影響
・初期侵害から短時間でのドメイン支配リスク(17時間以内のDC侵害事例)。
・SOCKS5プロキシ化による内部踏み台化、外部攻撃の隠れ蓑化。
・後続ペイロード(RAT/遠隔管理ツール/ランサムウェア等)投入による事業中断や法的・規制対応コストの増大。
・ブランド毀損:自社WordPressが侵害されれば拡散母体として検索経由の被害拡大を招く。
🛠 対策
エンドポイント防御:
・スクリプト実行制御(WDAC/AppLocker)でwscript.exe/cscript.exeのユーザー領域からの実行を禁止。
・Microsoft Defender ASR「ダウンロードされた実行可能コンテンツの起動に対するJavaScript/VBScriptのブロック」を有効化。
・メール/WEB経由ダウンロードにMOTW(Zone.Identifier)維持、JS/WSFの既定関連付けを無効化。
・ZIPからのスクリプト実行を禁止、隔離環境での展開を標準化。
ネットワーク/ID:
・WinRMを不要なら無効化。必要時はKerberos限定、Basic/未暗号化無効、Just‑In‑Time/JEAで縮小。
・管理者権限付与を原則最小化、ドメインアカウント新規作成の即時アラートと承認フロー化。
・AnyDeskなどRAT/リモート管理ツールの使用方針を明確化し、資産インベントリで未承認をブロック。
Web/WordPress:
・コア/プラグイン/テーマの常時最新化、不要プラグイン削除、コメント機能の停止または認証必須化。
・WAFでコメントエンドポイントへの高エントロピーPOST、ZIP配信、異常なBase85文字列やdata:font/woff2埋め込みを検知・遮断。
・改ざん監視(ファイル整合性/ETag差分)とバックアップの頻度強化。
CVSS:該当なし(機能濫用のため)。
📌 SOC視点
・ダウンロード/解凍/実行チェーンの相関検知:
– Security 4688(wscript.exe/cscript.exe/node.exeによるユーザー領域JS実行)、Sysmon 1(ProcessCreate)。
– Sysmon 11(FileCreate)で%Downloads%配下ZIP→同フォルダJS生成の連続性。
– HTTP(S)での異常なfont/woff2のin‑line配信、長尺のBase85様文字列を含むHTML/JS応答ログ。
・アカウント/横展開:
– Security 4720(ユーザー作成)、4728/4732(特権グループ追加)。
– WinRM接続(Microsoft‑Windows‑WinRM/Operational)とSecurity 4624/4672(特権ログオン)。
・C2/ツール:
– Tunneling/Proxyの疑い(SOCKS5相当の外向き接続)、AnyDeskサービス導入(ServiceInstall 7045、既知パス/署名)。
・サンドボックス:ZIPの展開はWindows Explorer相当の動作を含む複数エンジンで再現し、ツール差異を吸収。
📈 MITRE ATT&CK
・TA0001 初期アクセス:T1189 Drive‑by Compromise(検索誘導で侵害WPからZIP取得)。
・TA0002 実行:T1059.007 Command and Scripting Interpreter: JavaScript(wscript等でJS実行)。
・TA0005 防御回避:T1027 Obfuscated/Compressed Files and Information(XOR暗号ZIP/難読化JS)、T1036 Masquerading(WOFF2グリフ置換でファイル名偽装、TXTに見せるZIP)。
・TA0008 ラテラルムーブメント:T1021.006 Remote Services: WinRM(DCへ横展開)。
・TA0003 永続化/権限昇格:T1136.002 Create Account: Domain Account(管理者権限アカウント作成)。
・TA0011 C2:T1090 Proxy(SupperのSOCKS5プロキシ)。
・TA0040 影響:T1486 Data Encrypted for Impact(後続のランサムウェア展開に関与した事例が公的報告にあり)。
🏢 組織規模別助言
小規模(〜50名):
・管理負荷軽減のためEDRとDNSフィルタのマネージド導入、wscript実行の全面ブロック。
・コメント機能は原則停止、WordPressはマネージドWAF/CDNの前段配備。
中規模(50〜500名):
・ASR/WDACの段階的適用、WinRMの縮退運用。
・SIEMで4688/4720/WinRM/7045/HTTPレスポンスの相関ルール。
・検索広告の許可リスト化、ユーザー教育で「ZIP+JS」連携の危険性を周知。
大規模(500名以上):
・Egress制御で未知Socks/Tunnelを検出・遮断、TLS可視化。
・SOARでアカウント作成/特権付与検知時の自動隔離・強制パスワードリセット。
・Web資産の継続的監査、改ざん検出と即時ロールバック体制。
🔎 類似事例
・GootLoaderのSEO汚染キャンペーン(法務文書検索者の誘導)。
・BatLoader/番外:広告経由のZIPローダー投下。
・SocGholish(FakeUpdates):侵害サイト経由のJSローダー配布。
・Interlock RAT(NodeSnake)と関連報告のあるSupper(SocksShell/ZAPCAT)後続展開。
🧭 次の一手
・「JS/WSH実行制御とASR実装ガイド」を確認し、試験ポリシー→監査→強制の順に展開。
・「WinRMの安全な運用チェックリスト」で無効化/制限設定を点検。
・「WordPress運用者向け改ざん検知とWAF設定実例」を参照し、コメント運用方針を見直し。
・インシデント対応演習でZIP→JS→C2→WinRM→アカウント作成のキルチェーンを再現し、検知と封じ込め時間を計測。
