広範なマルウェア分析によると、CastleLoaderと呼ばれる高度なマルウェアローダーが出現し、米国の政府機関および重要インフラ部門に対する重大な脅威となっています。
このローダーは複数の業界にまたがる約469台のデバイスに影響を与えており、特に政府機関に重点を置いています。
CastleLoaderは初期侵入の脅威として機能し、従来の検知メカニズムを回避する高度な回避技術を展開します。
このマルウェアは多段階の実行チェーンで動作し、AutoItスクリプトを抽出するInno Setupインストーラーから開始し、その後、jsc.exe(JScript.NETコンパイラ)などの正規のシステムプロセスに悪意のあるペイロードを注入してプロセスホロウイングを実行します。
このローダーの配布は一般にClickFixのソーシャルエンジニアリングキャンペーンを通じて行われ、被害者は偽の検証プロンプトによって騙され、悪意のあるコマンドを実行させられます。
実行されると、CastleLoaderは第2段階のローダーとして機能し、後続のペイロードをファイルベースの検知システムを回避するために直接メモリ上へ展開します。この手法により、従来のシグネチャベースおよび振る舞い検知は大部分が無効化されます。
Any.runによると、技術分析の結果、CastleLoaderは高度な難読化に依存しており、強力に暗号化された設定データがバイナリ内に埋め込まれていることが明らかになりました。
このマルウェアは、循環キーのマスキングを用いた独自のXOR復号アルゴリズムを使用して、重要インフラのパラメータを復号します。
研究者はコマンド&コントロール(C2)インフラの抽出に成功し、94.159.113.32のC2サーバーを特定するとともに、ミューテックス名やユーザーエージェント文字列などの特徴的な侵害指標(IOC)を確認しました。
このローダーの主な目的は、情報窃取型マルウェアおよびリモートアクセス型トロイの木馬(RAT)を侵害されたシステムに配布し、認証情報の窃取と永続的なネットワークアクセスを可能にすることです。
その感染率の高さと汎用的な互換性により、機密性の高い政府ネットワークや、物流、旅行、欧州の重要インフラ部門を標的とする攻撃者にとって魅力的なツールとなっています。
検知と予防には、実際の攻撃データを反映した最新の脅威インテリジェンスが必要です。組織は、プロセスへのメモリ注入や不審なプロセス間通信を監視できる包括的なエンドポイント検知・対応(EDR)ソリューションを実装すべきです。
さらに、ライブサンドボックス分析によって強化されたリアルタイムの脅威インテリジェンスフィードを統合することで、脅威の特定と対応を加速し、検知および対応までの平均時間(MTTD/MTTR)指標を大幅に短縮できます。
翻訳元: https://cyberpress.org/castleloader-malware-targets-us-government/