はじめに
セキュリティ研究者らが、「CastleLoader」と名付けられたステルス性の高い初期段階のマルウェアローダーについて警告を発しています。このマルウェアは、米国の政府機関をはじめ、ITプロバイダー、物流・旅行会社、さらには欧州の重要インフラ組織を標的としたキャンペーンに関与していることが明らかになりました。ANY.RUNのマルウェア分析チームによる最近の調査では、一つのキャンペーンだけで少なくとも469台のデバイスが影響を受けたことが報告されています。
CastleLoaderの脅威と手口
CastleLoaderは、より広範な侵入チェーンにおける最初の足がかりとして機能します。情報窃取型マルウェア(インフォスティーラー)やリモートアクセス型トロイの木馬(RAT)といった後続のペイロードを密かに送り込むことを目的としています。これらの二次ツールが確立されると、大規模な認証情報窃取や被害者環境への永続的なアクセスが可能となり、データ流出や長期的な侵害のリスクが大幅に高まります。
このローダーは2025年初頭から活発に使用されており、その高い感染率と柔軟な展開モデルにより、脅威アクターの間で急速に普及しました。いくつかのキャンペーンでは、「ClickFix」と呼ばれるソーシャルエンジニアリング手法を介してCastleLoaderが展開されています。これは、トラブルシューティング、検証、またはソフトウェアアップデートを装って、被害者を騙し、攻撃者提供のコマンドを手動で実行させるものです。この「ClickFix」が初期のアクセスベクトルを提供し、CastleLoaderは第二段階としてメインの悪性ペイロードを完全にメモリ内で注入・実行します。
高度な検知回避技術
ANY.RUNの分析によると、CastleLoaderは検知を回避するために、意図的に複雑な多段階実行チェーンに依存しています。
- Inno Setupインストーラーが、AutoIt3.exeとコンパイルされたAutoItスクリプトを含む補助ファイルをドロップします。
- これらのファイルは環境を準備し、古いJScript.NETコンパイラであるjsc.exeの停止されたインスタンスを起動します。
- CastleLoaderは、プロセスホローイング技術を介して、悪性PEイメージをjsc.exeのアドレス空間に注入し、プロセスコンテキストを変更して実行を再開します。
- これにより、最終ペイロードは、見た目には正当なプロセス内のメモリ常駐型モジュールとしてのみ存在します。
各段階が単独では無害に見え、コアペイロードが最終形態でディスク上に存在しないため、静的シグネチャ、単純なヒューリスティック、および基本的なプロセス監視はほとんど効果がありません。多くのEDRツールは、通常のインストーラーと正当なWindowsコンポーネントに見えるものしか認識せず、真の悪性ロジックは変更されたが「正常に見える」プロセス内で実行されます。
ANY.RUNによる詳細分析
CastleLoaderの挙動を完全にマッピングするために、ANY.RUNのアナリストは、インタラクティブなサンドボックステレメトリーと綿密なリバースエンジニアリングを組み合わせました。メモリから注入されたモジュールをダンプし、Ghidraで読み込むことで、ハッシュ化されたWinAPI名に基づくカスタムAPI解決ルーチンと、設定データ用の独自の文字列復号メカニズムが発見されました。目的別に構築されたパーサーを使用して、チームはCastleLoaderのランタイム設定(ネットワークパラメータ、ミューテックス値、ユーザーエージェント文字列、コマンド&コントロール(C2)エンドポイントなど)を自動的にデコードすることができました。
この設定には、C2としてHTTPベースの94[.]159[.]113[.]32が含まれており、タスク処理とステータスレポートのハードコードされたパスも含まれています。これは、このマルウェアが構造化されたリモート制御型操作のために設計されていることを裏付けています。
セキュリティ対策と推奨事項
CastleLoaderは、現代のローダーがシグネチャベースおよび単純な挙動防御の両方を回避するように設計されているという、より広範なトレンドを例示しています。この結果、防御側はライブマルウェア実行から得られるリアルタイムの脅威インテリジェンスにますます依存しています。ANY.RUNは、何千ものサンドボックス化されたサンプルから収集されたテレメトリーとインディケーターが脅威インテリジェンスサービスに直接フィードされ、セキュリティオペレーションセンター(SOC)が従来のレポートサイクルを待つことなく、野生で出現する新しいローダー、スティーラー、RATを特定できるようにしていると述べています。
米国政府機関および重要インフラ事業者にとって、CastleLoaderは以下の必要性を強調しています。
- メモリ常駐型ペイロードの監視
- jsc.exeのようなシステムツールを含む異常なプロセスチェーンの精査
- 高精度な脅威インテリジェンスフィードの統合
IOC (Indicators of Compromise)
| File Name | Description | MD5 | SHA1 | SHA256 |
|---|---|---|---|---|
| 8b7c1657f4d5cf0cc82d68c1f1a385adf0de27d46fc544bba249698e6b427856.exe | Inno Setup Installer | 9A0960C674378A049B8D9AD0E1C641C3 | 0580A364AB986B051398A78D089300CF73481E70 | 8B7C1657F4D5CF0CC82D68C1F1A385ADF0DE27D46FC544BBA249698E6B427856 |
| freely.a3x | AutoIt Script | AFBABA49796528C053938E0397F238FF | DD029CD4711C773F87377D45A005C8D9785281A3 | FDDC186F3E5E14B2B8E68DDBD18B2BDA41D38A70417A38E67281EB7995E24BAC |
| payload.exe | CastleLoader Core Module | 1E0F94E8EC83C1879CCD25FEC59098F1 | 9E11E8866F40E5E9C20B1F012D0B68E0D56E85B3 | DFAF277D54C1B1CF5A3AF80783ED878CAC152FF2C52DBF17FB05A7795FE29E79 |