サイバーインテリジェンスの報告書で新たな名前が浮上し、セキュリティチームを緊張させています。CastleLoaderとして知られるこのツールは、2025年初頭以降、高セキュリティ環境を狙う攻撃者にとって定番の手段となっています。
Hackread.comが2025年12月に報じたように、CastleLoaderの初期バージョンは2025年7月と8月に分析されました。サイバーセキュリティ分析企業ANY.RUNは今回、より新しく、さらにステルス性の高いバージョンを検出しました。
ANY.RUNの研究者はこれを「ローダー」と特定しました。ローダーとは本質的に、より破壊的な攻撃への静かな侵入口として機能する特殊なソフトウェアです。調査により明らかになったのは、CastleLoaderがすでに少なくとも469台のデバイスを侵害しており、米国政府機関や、物流・旅行分野を含む欧州全域の重要インフラに重点的に狙いを定めているという点です。
クリックさせる罠
研究者によると、CastleLoaderは必ずしも複雑なハッキングに頼るわけではなく、多くの場合、誰かが一度ミスをするだけで十分です。これはClickFix.として知られるソーシャルエンジニアリングの手口を用います。こうしたケースでは、ユーザーは偽の「更新」や「確認」のポップアップを目にすることがあります。ユーザーが問題を「修正」するためにクリックすると、実際にはマルウェアが動き出す許可を与えてしまいます。マルウェアはしばしば、次のような偽メッセージを使用します。
「VCRUNTIME140.dll がコンピューターに見つからないため、プログラムを開始できません。」
これは、ありふれた日常的なWindowsの不具合のように見えるため、巧妙な偽装です。しかしユーザーが戸惑っている間に、CastleLoaderはすでに活動を開始しています。通常、一般的なインストーラーツールであるInno Setupを使ったパッケージとして侵入し、AutoItというスクリプトを実行して、攻撃の次段階に向けてシステムを準備します。
システムへの侵入に成功すると、マルウェアはプロセスホロウイングを実行します。これは、 jsc.exeと呼ばれる正規のWindowsツールが乗っ取られる手口です。研究者によれば、マルウェアは安全なコードを「くり抜き」、悪意ある命令に置き換えます。「悪い」コードが「良い」プログラムのメモリ内で動作するため、一般的なアンチウイルスツールの多くはそれを検知すらできません。
さらに調査を進めると、CastleLoaderが定着すると、 94.159.113.32というアドレスのコマンドセンターへコールバックすることが判明しました。そこから、パスワードを奪う情報窃取型マルウェアや、見知らぬ人物にネットワークの完全な制御を与えるRAT(リモートアクセス型トロイの木馬)をダウンロードできます。
最も危険なのは、CastleLoaderがメモリベースの攻撃を用いる点です。ハードドライブに目に見えるファイルを保存する代わりに、悪意あるコードはコンピューターの一時メモリ(RAM)に完全に隠れます。恒久的なファイルを残さないため、ディスク上の不正ファイルだけをスキャンする標準的なアンチウイルスプログラムを回避でき、まるで幽霊のように振る舞います。このマルウェアは非常に回避性が高いため、従来のセキュリティ対策では通常、検出できません。
CastleLoaderの発見は、最善の防御が賢い技術と警戒心の組み合わせであることを示しています。セキュリティ専門家が技術的な侵入口を塞ぐ作業を進める一方で、疑わしいポップアップに対して私たち自身が慎重であることが、デジタル脅威に対する最も強力な盾であり続けます。
翻訳元: https://hackread.com/castleloader-variant-infections-critical-sectors/
