はじめに
サイバーセキュリティの情勢は進化を続け、脅威アクターはWindowsベースのインフラを侵害するためにますます高度なツールを展開しています。2025年3月頃に出現したリモートアクセス型トロイの木馬(RAT)であるCastleRATは、防御側が対処しなければならないマルウェアの武器庫に新たに加わった重要な脅威です。この新発見の脅威は、複数の攻撃手法の融合を示しており、攻撃者が検出されずに侵害されたシステムに対する永続的な制御を確立することを可能にしています。
CastleRATの亜種
CastleRATには、異なる開発哲学と運用の優先順位を反映した2つの異なる亜種が存在します。Python版は軽量で比較的透過的な実装を提供し、アナリストがマルウェアの核となるロジックと機能をより容易に分析できます。対照的に、コンパイルされたC版は、洗練性とステルス性を優先し、検出と分析を大幅に困難にする追加機能が組み込まれています。両方の亜種は、感染したシステム上でリモートアクセスを確立し、機密データを収集し、永続性を維持するという同一の基本的な目的を共有しています。
攻撃メカニズム
このマルウェアのコマンド&コントロール(C2)通信は、一見シンプルながら効果的な暗号化メカニズムに依存しています。CastleRATは、ハードコードされた鍵を持つRC4ストリーム暗号を使用し、感染ホストと攻撃者のインフラ間を流れるすべてのトラフィックのシームレスな暗号化と復号化を可能にしています。最初の接触時に、マルウェアは広範なシステム偵察を実行し、コンピューター名、ユーザー名、マシンGUID、パブリックIPアドレス、製品バージョン情報などを収集し、これらすべてをC2サーバーに送信します。CastleRATの洗練性は、マルチスレッドアーキテクチャを通じて複数の悪意のある操作を同時に調整する能力から生まれます。各実行スレッドは特定の攻撃目的を処理し、侵害されたプロセス空間内でかなりの自律性を持って動作する分散型ペイロードを作成します。この設計パターンにより、マルウェアは、より線形的な攻撃シーケンスから発生する可能性のあるセキュリティアラートをトリガーすることなく、様々な機能を同時に実行できます。
データ窃取
このマルウェアは、複数のチャネルを介して機密データに対する積極的な収集意欲を示します。クリップボードスクレイピングにより、資格情報、暗号通貨アドレス、認証トークンなど、ユーザーが頻繁にコピー&ペーストする情報を抽出します。従来のネットワーク経由でのデータ漏洩に頼るのではなく、CastleRATは、ブラウザやチャットクライアントのような無害に見えるアプリケーションに貼り付け操作をシミュレートする巧妙なクリップボードハイジャック技術を使用します。この方法は、ネットワーク痕跡を劇的に減らし、悪意のある活動を通常のユーザーの行動に紛れ込ませるため、リアルタイム検出とフォレンジック分析の両方を困難にします。スクリーンキャプチャ機能により、マルウェアは定期的にアクティブなデスクトップコンテンツを撮影し、ユーザーセッション中に表示される機密情報を収集します。キーロギングは、すべてのキーストロークをキャプチャし、RC4キーで暗号化されたデータをC2サーバーに送信します。メディアキャプチャの列挙は、システムに存在するウェブカメラとマイクを特定し、攻撃者がそのような機能の存在を判断した場合に、オーディオおよびビデオ監視を可能にします。
コマンド実行と永続性
CastleRATは、侵害されたマシン上で攻撃者にリモートシェルを提供しますが、この機能は可視のシェルウィンドウを生成するのではなく、匿名プロセス間通信パイプを使用して実装されます。このアプローチにより、目に見えるコンソールウィンドウなしでコマンドが実行される不可視のインタラクティブ環境が作成され、侵害されたユーザーとセキュリティ監視ソリューションの両方から攻撃者の活動を効果的に隠蔽します。マルウェアは、C2サーバーから任意のファイルをダウンロードして実行でき、追加のツールやマルウェアファミリーのインストールを効果的に可能にします。CastleRATは、正当なWindows機能を悪用する洗練されたユーザーアカウント制御(UAC)バイパスを実装しています。マルウェアはAppinfoサービスUUIDを悪用して、Windowsシステムに信頼されたバイナリであるComputerDefaults.exeを特権コンテキストで起動するよう要求します。ハンドルスティールとして知られるプロセスを通じて、マルウェアは昇格されたプロセスにデバッグスレッドをアタッチし、特定のデバッグイベントを監視します。ターゲットプロセスがハンドルを公開すると、マルウェアはNtDuplicateObject APIを介してそれを複製し、後続のマルウェアプロセスが昇格された権限を継承します。
検出戦略
組織は、CastleRATの特性的な挙動を特定するために特別に設計された多層防御戦略を実装する必要があります。検出ルールは、ComputerDefaults.exeが子プロセスを生成する異常な活動を監視すべきです。これは通常のオペレーティングシステムの挙動から逸脱しています。序数値を介したDLLエクスポート関数を伴うRunDLL32の悪用も、この実行パターンが正当なシナリオではめったに発生しないため、もう一つの高信頼性な指標となります。mute-audioやdo-not-elevateのような異常なフラグで起動されたブラウザプロセスは、特に予期せぬ親実行可能ファイルから生成された場合、即座の調査を保証します。ComputerDefaults.exe、Eventvwr.exe、Fodhelper.exeなどの既知のUACバイパスユーティリティをターゲットとするハンドル複製活動は、特権昇格の試みを示しており、封じ込めプロトコルをトリガーすべきです。
侵害の痕跡(IOC)
- SHA256 Hash: 963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d (CastleRAT C Compiled)
- SHA256 Hash: f2ff4cbcd6d015af20e4e858b0f216c077ec6d146d3b2e0cbe68b56b3db7a0be (CastleRAT C Compiled)
- SHA256 Hash: 4ef63fa536134ad296e83e37f9d323beb45087f7d306debdc3e096fed8357395 (CastleRAT Python Compiled)
- SHA256 Hash: 282fa3476294e2b57aa9a8ab4bc1cc00f334197298e4afb2aae812b77e755207 (CastleRAT Python Compiled)