CastleRAT攻撃の概要
CastleRAT攻撃は、Deno JavaScriptランタイムを悪用して、企業の防御を回避する高度なマルウェアキャンペーンです。この攻撃は、社会工学的手法と信頼できる開発ツール、そしてステルス技術を組み合わせて、従来の企業防御を迂回する方法を示しています。
攻撃の手順
攻撃は「ClickFix」という社会工学的手法から始まります。被害者は、偽のブラウザエラーメッセージやCAPTCHA認証プロンプトを表示する悪意のあるウェブページに導かれます。このページは、ユーザーに問題を解決するためにWindows実行ダイアログやターミナルにコマンドをコピーして貼り付けるよう指示します。
Denoランタイムの悪用
ユーザーが手動でコマンドを実行するため、通常のダウンロードをブロックするセキュリティフィルターがこのアクティビティを検出しないことがあります。コマンドが実行されると、悪意のあるインストーラーがダウンロードされ、感染チェーンが開始されます。
ステルス技術の利用
攻撃者は「living off the land」というステルス技術を使用し、正当なソフトウェアツールを悪用して検出を避けることができます。このキャンペーンでは、初期スクリプトがDenoをダウンロードし、インストールします。Denoは、開発者によって広く使用されている現代的なJavaScriptランタイムであり、有効なデジタル署名を持つ正当なソフトウェアと見なされます。
ステガノグラフィの利用
攻撃の次の段階では、高度なステガノグラフィ技術が利用されます。Denoスクリプトは、