セキュリティ研究者らは、CastleLoaderというステルス性の高い初期段階のマルウェアローダーについて警鐘を鳴らしている。これは現在、米国拠点の政府関連組織および複数の高価値産業を標的とするキャンペーンに関与しているとされる。
ANY.RUNのマルウェア分析チームによる最近の詳細分析によれば、このローダーは公共部門ネットワーク、ITプロバイダー、物流・旅行会社、さらに欧州全域の重要インフラ組織に対する攻撃で観測されており、追跡された1つのキャンペーンだけでも少なくとも469台のデバイスに影響を与えたという。
CastleLoaderは、より広範な侵入チェーンにおける初期の足掛かりとして機能し、情報窃取型マルウェアやリモートアクセス型トロイの木馬(RAT)などの後続ペイロードを密かに配信するよう設計されている。
いったん確立されると、これらの二次ツールは大規模な認証情報の窃取と被害環境への永続的アクセスを可能にし、データ流出および長期的な侵害リスクを大幅に高める。
このローダーは2025年初頭から活発に使用されており、高い感染率と柔軟な展開モデルにより、脅威アクターの間で急速に人気を集めている。
複数のキャンペーンでは、CastleLoaderは「ClickFix」と呼ばれるソーシャルエンジニアリング手法を通じて展開されており、被害者はトラブルシューティング、検証、またはソフトウェア更新を装って、攻撃者が提供したコマンドを手動で実行するよう騙される。
この構成では、ClickFixが初期アクセスのベクターを提供し、CastleLoaderが第2段階として動作して、主要な悪性ペイロードを完全にメモリ上で注入・実行する。
ANY.RUNの分析によると、CastleLoaderは検知回避のために意図的に複雑な多段階実行チェーンに依存している。Inno SetupインストーラーがAutoIt3.exeとコンパイル済みAutoItスクリプトを含む補助ファイル一式をドロップし、それらが環境を準備したうえで、古いJScript.NETコンパイラであるjsc.exeのサスペンド状態のインスタンスを起動する。
綿密に組み立てられたプロセスホロウイング手法により、CastleLoaderは悪性PEイメージをjsc.exeのアドレス空間に注入し、プロセスコンテキストを改変して実行を再開させることで、最終ペイロードが一見正当なプロセス内のメモリモジュールとしてのみ存在するようにする。
各段階は単体では無害に見え、かつ中核ペイロードが最終形でディスク上に存在しないため、静的シグネチャ、単純なヒューリスティック、基本的なプロセス監視は概して効果が薄い。
多くのEDRツールは、通常のインストーラーと正規のWindowsコンポーネントに見えるものしか観測できず、真の悪性ロジックは改変されているものの「正常に見える」プロセス内で実行される。
CastleLoaderの挙動を完全に把握するため、ANY.RUNのアナリストは対話型サンドボックスのテレメトリと詳細なリバースエンジニアリングを組み合わせた。
バイナリの基本的な概要を把握するため、DIE(Detect It Easy)で処理してみよう。
注入されたモジュールをメモリからダンプしてGhidraに読み込むことで、ハッシュ化されたWinAPI名に基づく独自のAPI解決ルーチンと、設定データ向けの独自の文字列復号メカニズムが明らかになった。
専用に作成したパーサーを用いることで、チームはCastleLoaderの実行時設定(ネットワークパラメータ、ミューテックス値、ユーザーエージェント文字列、C2(コマンド&コントロール)エンドポイントなど)を自動的にデコードできた。
設定には、94[.]159[.]113[.]32にあるHTTPベースのC2に加え、タスク指示およびステータス報告のためのハードコードされたパスが含まれており、このマルウェアが構造化された遠隔制御型の運用を想定して設計されていることを裏付けている。
静的な文字列ではなく、2文字のUTF-16LE文字を含むDWORDにパッケージ化された大量の暗号化バイトがスタック上にそのまま配置されている。
研究者らは、CastleLoaderが、現代のローダーがシグネチャベースおよび単純な振る舞いベースの防御の双方を回避するよう設計されるという、より広範な傾向を体現していると強調している。
その結果、防御側はライブ実行から得られるリアルタイムの脅威インテリジェンスへの依存を強めている。
ANY.RUNは、数千件のサンドボックス化サンプルから収集されたテレメトリと指標が脅威インテリジェンスサービスへ直接投入され、従来のレポーティングサイクルを待つことなく、野外で出現するローダー、スティーラー、RATをSOC(セキュリティオペレーションセンター)が早期に検知できるようになると述べている。
米国政府関連組織および重要インフラ運用者にとって、CastleLoaderは、メモリ上のみで動作するペイロードの監視、jsc.exeのようなシステムツールを含む異常なプロセスチェーンの精査、高精度の脅威インテリジェンスフィードの統合の必要性を浮き彫りにしている。
IOC
| ファイル名 | 説明 | MD5 | SHA1 | SHA256 |
|---|---|---|---|---|
| 8b7c1657f4d5cf0cc82d68c1f1a385adf0de27d46fc544bba249698e6b427856.exe | Inno Setupインストーラー | 9A0960C674378A049B8D9AD0E1C641C3 | 0580A364AB986B051398A78D089300CF73481E70 | 8B7C1657F4D5CF0CC82D68C1F1A385ADF0DE27D46FC544BBA249698E6B427856 |
| freely.a3x | AutoItスクリプト | AFBABA49796528C053938E0397F238FF | DD029CD4711C773F87377D45A005C8D9785281A3 | FDDC186F3E5E14B2B8E68DDBD18B2BDA41D38A70417A38E67281EB7995E24BAC |
| payload.exe | CastleLoaderコアモジュール | 1E0F94E8EC83C1879CCD25FEC59098F1 | 9E11E8866F40E5E9C20B1F012D0B68E0D56E85B3 | DFAF277D54C1B1CF5A3AF80783ED878CAC152FF2C52DBF17FB05A7795FE29E79 |
翻訳元: https://gbhackers.com/castleloader-malware/
