【安全资讯】Gootloader恶意软件卷土重来，加速勒索软件攻击链

概要：

网络安全公司Huntress最新研究发现，沉寂一时的Gootloader恶意软件近期再度活跃，其攻击速度惊人——从初始入侵到域控制器沦陷仅需17小时。这种采用JavaScript编写的恶意加载器通过与勒索团伙Vanilla Tempest合作，形成了一条高效的黑产链条，对全球组织机构构成严重威胁。

主要内容：

Gootloader作为兼具恶意软件投放和信息窃取功能的加载器，通过SEO投毒技术伪装成合法文档。攻击者利用自定义WOFF2字体进行字形替换，使文件名在源代码中显示为乱码，而在浏览器中呈现为"Florida_HOA_Committee_Meeting_Guide.pdf"等正常名称，诱骗用户下载含恶意脚本的ZIP压缩包。

技术分析显示，该恶意软件通过滥用WordPress评论提交端点隐藏加密载荷。初始JavaScript执行后10-20分钟内，会建立两个持久化机制，包括部署专属Vanilla Tempest的Supper SOCKS5后门。研究人员发现其使用新型"TextShell"混淆器，该技术同样出现在OysterLoader样本中。

攻击链中，入侵者在17小时内通过Windows远程管理横向移动至域控制器，创建管理员账户，并使用Impacket工具识别系统备份快照。这种快速推进表明组织机构检测和响应的窗口期极为有限。

Huntress已发布相关入侵指标、YARA规则和检测方法，帮助防御者追踪Gootloader与Vanilla Tempest的活动痕迹。安全专家强调，这种犯罪伙伴关系的高效协作模式使得攻击速度成为最大威胁因素。