Blackpoint CyberのAdversary Pursuit Groupによって、サイバー攻撃手法における重大な変化が発見されました。彼らの調査はHackread.comと共有されており、2025年7月から8月頃に初めて報告・分析されたマルウェア「CastleLoader」が、よりステルス性の高い新たなアップグレードを受けていることを示しています。これには、攻撃者が配信システムの検知を困難にするために、Pythonプログラミング言語を使用するようになったことが含まれます。
欺瞞的な配信手法
CastleLoaderは従来、ClickFixと呼ばれる巧妙なソーシャルエンジニアリング攻撃を通じて配信されてきました。この手法では、攻撃者がユーザーをだまして、(Win + Rキーを押して)Windowsの「ファイル名を指定して実行」ボックスにコマンドを入力させます。多くの場合、人間による認証ステップや偽のエラーを修正する手順として偽装されています。
このたった1つのコマンドによって、内蔵のWindowsツールであるcurl.exeやtarが密かに起動され、初期ファイル転送とステージング処理が行われます。これらのツールは、ユーザーのコンピュータ上の隠しフォルダに内容を保存し、その間、一切のウィンドウやプロンプトを表示しません。
Blackpointの調査によると、このキャンペーンにおけるCastleLoaderの役割はシンプルながら非常に危険です。攻撃者のサーバーから暗号化された隠しパッケージをダウンロードし、その後、攻撃者が選択した任意の悪意あるプログラムを被害者のコンピュータ上で実行します。
研究者らは、CastleLoaderがCastleRATのようなリモート制御ツールや、NetSupport RATなどのほか、Stealc、RedLine、Rhadamanthys、MonsterV2といった情報窃取型マルウェアを含む、幅広いマルウェアのインストールに利用されていることを確認しました。
ステルス性の高いPythonステージャー
さらなる解析により、ファイルがステージングされた後、ウィンドウを表示しないインタプリタ(pythonw.exe)を使って小さなPythonスクリプトが実行されることが判明しました。このスクリプトはコンソールウィンドウを一切表示せずに密かに動作し、CastleLoaderをメモリ上で直接再構築・起動することで、実行ファイルをディスクに書き込む必要を回避します。研究者らは、攻撃者が「Pythonバイトコード、メモリ上でのシェルコード実行、PEB Walkingを利用して従来型の防御を回避している」と指摘しています。
PEB Walking手法は、この攻撃の重要な要素であり、マルウェアが必要なシステム機能を探索し、要求されるAPIをすべて実行時に解決できるようにします。これにより、セキュリティツールによる検知を回避しやすくなります。CastleLoaderが最終ペイロードをダウンロードするために攻撃者のサーバーへ接続する際には、ハードコードされたGoogleBot User-Agentという一意の識別タグを使用します。この異常なタグは、この攻撃がCastleLoaderファミリーによる継続的な攻撃であることを示す特有の手がかりとなります。
この詳細な調査結果は、犯罪者が使用するツールが明確に進化していることを示しています。Blackpointのセキュリティ専門家は、特にWindowsの「ファイル名を指定して実行」ダイアログボックスの使用を促すようなプロンプトに対して、ClickFix型のソーシャルエンジニアリングを避けるようユーザーを教育すべきだと提言しています。
管理者は、ほとんどのユーザーに対して「ファイル名を指定して実行」ダイアログ、cmd.exe、PowerShell、Pythonプログラムへのアクセスを制限または無効化し、AppDataフォルダのような通常とは異なる場所からPythonが実行されていないかなど、不審なアクティビティを監視する必要があります。
翻訳元: https://hackread.com/castleloader-malware-python-loader-bypass-security/
