Gootloader ได้กลับมาเป็นภัยคุกคามร้ายแรงอีกครั้งในเดือนพฤศจิกายน 2025 ด้วยความสามารถที่ได้รับการปรับปรุงให้สามารถหลบเลี่ยงระบบรักษาความปลอดภัยสมัยใหม่ได้ มัลแวร์นี้ทำหน้าที่เป็นตัวกลางในการเข้าถึงระบบเบื้องต้น (initial access broker) โดยผู้พัฒนาจะสร้างจุดเริ่มต้นของการโจมตีด้วยแรนซัมแวร์ ก่อนจะส่งต่อการควบคุมให้กับกลุ่มผู้โจมตีรายอื่นเพื่อติดตั้งเครื่องมือเข้ารหัส บทความระบุถึงการหลบเลี่ยงการตรวจจับที่มีประสิทธิภาพของมัลแวร์นี้ ซึ่งกลุ่มผู้คุกคาม Vanilla Tempest ใช้ร่วมกับการโจมตีด้วยแรนซัมแวร์ Rhysida.
Severity: สูง
System Impact:
- Modern security systems
- Windows Script Host
- PowerShell
- NTFS (การใช้ชื่อย่อ NTFS)
Technical Attack Steps:
- Gootloader กลับมาทำงานอีกครั้งในเดือนพฤศจิกายน 2025 หลังจากหยุดไปช่วงหนึ่ง
- มัลแวร์แพร่กระจายผ่านเว็บไซต์ที่ถูกบุกรุก โดยฝังอยู่ในไฟล์ ZIP ที่ปลอมแปลงและสร้างมาผิดรูปแบบอย่างจงใจ
- ไฟล์ ZIP ที่ผิดรูปแบบนี้ออกแบบมาเพื่อหลบเลี่ยงเครื่องมือรักษาความปลอดภัยส่วนใหญ่ (เช่น 7zip, WinRAR) แต่สามารถเปิดได้ด้วยโปรแกรมคลายไฟล์เริ่มต้นของ Windows
- โครงสร้างของไฟล์ ZIP มีการรวมไฟล์ ZIP ย่อยหลายร้อยไฟล์เข้าด้วยกัน มีค่าแบบสุ่มในฟิลด์สำคัญ และส่วนที่ถูกตัดทอนโดยเจตนาเพื่อทำให้เครื่องมือสแกนทั่วไปเกิดข้อผิดพลาดในการวิเคราะห์
- เมื่อไฟล์ ZIP ที่เป็นอันตรายถูกเปิด ไฟล์ JScript ที่ฝังอยู่จะทำงานโดยอัตโนมัติผ่าน Windows Script Host
- สคริปต์ JScript จะสร้างไฟล์ลิงก์ในโฟลเดอร์ Startup ของผู้ใช้ เพื่อสร้างการคงอยู่บนระบบ และไฟล์ลิงก์นี้จะชี้ไปยังไฟล์ JScript ตัวที่สองที่เก็บอยู่ในไดเรกทอรีแบบสุ่ม เพื่อให้มัลแวร์ทำงานใหม่ทุกครั้งที่ระบบรีสตาร์ท
- JScript จะเรียกใช้ PowerShell พร้อมคำสั่งที่ถูกเข้ารหัสและปกปิดอย่างซับซ้อน
- PowerShell จะสื่อสารกับโครงสร้างพื้นฐานของผู้โจมตีเพื่อดาวน์โหลดเพย์โหลดรอง
- มีการใช้เทคนิค ‘hashbusting’ ซึ่งหมายถึงไฟล์ที่ดาวน์โหลดแต่ละไฟล์จะมีลักษณะเฉพาะที่ไม่ซ้ำกัน ทำให้การตรวจจับด้วยลายเซ็น (signature-based detection) แทบจะเป็นไปไม่ได้
Recommendations:
Short Term:
- ป้องกันการรัน JScript ผ่าน Group Policy Objects โดยเปลี่ยนการเชื่อมโยงไฟล์ .js ให้เปิดด้วย Notepad แทน Windows Script Host
- เฝ้าระวังการทำงานของ PowerShell ที่น่าสงสัย
- ตรวจจับการใช้ชื่อย่อ NTFS (NTFS shortname usage) ในระหว่างการรันสคริปต์
- สแกนหาโครงสร้างไฟล์ ZIP ที่ผิดรูปแบบโดยใช้ YARA rules เฉพาะทาง
Long Term:
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับการเปิดไฟล์แนบและดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
- ติดตั้งและอัปเดตโซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่ง
- อัปเดตแพตช์ระบบและเครื่องมือรักษาความปลอดภัยทั้งหมดอย่างสม่ำเสมอ
- ใช้การกรองอีเมลและเว็บที่มีประสิทธิภาพเพื่อบล็อกการดาวน์โหลดที่เป็นอันตราย
- พัฒนากลยุทธ์และแผนการรับมือเหตุการณ์ (Incident Response Plan) สำหรับการโจมตีด้วยแรนซัมแวร์
Source: https://cybersecuritynews.com/gootloader-with-low-detection-rate/
Share this content: