今回のブログでは、ドイツの金融機関を狙ったGootkitというトロイの木馬を利用し、攻撃された全容をMalwarebytesリサーチチームが発表しました。Gootkitの初期ローダーは、HTTPを利用してリモートアドレスから追加コードをダウンロードする機能を備えた難読化されたJavaScriptです。 

その他にもメモリインジェクション攻撃なども実行されていることが確認されています。Malwarebytesはレポートの中で、いくつかの攻撃において、Gootkitの最終ペイロード攻撃は、REvilのランサムウェアであると結論づけています。

Minervaのユーザーは、実際にGootkitトロイに攻撃を仕掛けられましたが攻撃を防御しました。

その実際の攻撃コマンドラインを参照すると、PowerShell経由でロードされた環境変数内に悪意のあるコードが仕掛けられていました。下の図を参照ください。

 下の図は実際に起こったタイムライン攻撃のプロセスを示しています。

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。