複数ライセンス割引見積
脅威データベース マルウェア CastleLoader マルウェア

CastleLoader マルウェア

マルウェアMezoまで
翻訳内容:

サイバー脅威が絶えず進化する中、「CastleLoader」と呼ばれる新たなマルウェアローダーが、サイバー犯罪者の重要な武器として登場しました。2025年初頭に初めて検出されたCastleLoaderは、そのモジュール性、高度な回避戦術、そして適応性により急速に普及しました。研究者は、情報窃取型マルウェアやリモートアクセス型トロイの木馬(RAT)を展開する複数のキャンペーンでこのマルウェアが重要な役割を果たしていることを観察しており、マルウェア・アズ・ア・サービス(MaaS)エコシステムにおける懸念が高まっています。

多用途の活用:強力な配信ツール

CastleLoader は、次のようなさまざまな悪意のあるペイロードを配信するために使用されています。

  • 情報窃盗マルウェア: DeerStealer、RedLine、StealC
  • リモートアクセス型トロイの木馬(RAT):NetSupport RAT、SectopRAT

CastleLoaderはモジュール構造を採用しており、初期ドロッパーと第二段階のローダーの両方の役割を果たすため、攻撃者は感染ベクトルとペイロードを切り離すことができます。この分離により、検出と対応が複雑化し、攻撃者の特定が著しく困難になります。

難読化と回避:常に一歩先を行く

CastleLoader は、検出を回避し、分析を妨げるためにいくつかの高度なテクニックを使用します。

  • デッドコードの挿入とパッキングにより、実際の機能を隠すことができます。
  • 初期スキャン レイヤーを回避するまで実行を遅延するランタイム アンパック。
  • SmokeLoader や IceID などの高度なローダーに匹敵する、サンドボックス対策と難読化。

解凍されると、ローダーはコマンドアンドコントロール(C2)サーバーにアクセスし、追加モジュールをダウンロードして実行を開始します。ペイロードは通常、シェルコードが埋め込まれたポータブル実行ファイルとして配信され、シェルコードによってローダーのコアルーチンが起動されます。

戦術とテクニック:その核心は欺瞞

CastleLoader を使用したキャンペーンは、特に次のようなソーシャル エンジニアリングに大きく依存しています。

ClickFixをテーマとしたフィッシング攻撃
被害者は、Google検索結果の改ざんによって、ビデオ会議プラットフォーム、ブラウザアップデート、開発者ライブラリ、または文書検証ポータルを装った悪意のあるドメインに誘導されます。これらのページには、偽のエラーメッセージやCAPTCHAプロンプトが含まれており、ユーザーはPowerShellコマンドを実行するよう指示され、気づかないうちに感染を開始してしまいます。ClickFix 攻撃は、多くのハッカーグループによって広く採用されている手法となっています。

偽のGitHubリポジトリ
CastleLoaderは、正規のオープンソースツールを模倣したリポジトリを通じても拡散します。開発者は、これらのリポジトリから一見信頼できるインストールスクリプトを実行し、知らないうちにシステムに感染させてしまう可能性があります。この戦術は、GitHubの正当性と、開発者がオープンリポジトリを信頼していることを悪用しています。

これらの戦略は、初期アクセスブローカー (IAB) が一般的に使用する手法を反映しており、より広範なサイバー犯罪サプライチェーンにおける CastleLoader の立場を強化しています。

重複キャンペーンとリーチの拡大

研究者たちは、CastleLoaderとDeerStealerが複数のキャンペーンで使用されていることを記録しており、Hijack Loaderの一部の亜種が両方のツールを介して配信されたことを指摘しています。各キャンペーンの背後にいる脅威アクターは異なる可能性がありますが、ローダーの重複使用は、サイバー犯罪グループ間で共通のエコシステムまたはサービスモデルが存在していることを示唆しています。

2025年5月以降、CastleLoaderは7台のC2サーバーを利用していることが確認され、1,634件の感染試行が記録されています。このうち469台のデバイスが侵入に成功し、感染成功率は28.7%でした。

脅威の背後にあるインフラ

CastleLoaderを支えるC2インフラは、非常に堅牢です。関連するWebベースのパネルは、感染システムを集中管理する機能を提供しており、これはMaaS(Malware as a Service)プラットフォームに見られる機能と似ています。これは、このローダーの開発と展開の背後に、経験豊富で組織化されたオペレーションが存在することを示しています。

重要なポイント: CastleLoader の脅威の増大

CastleLoader は単なるローダーではなく、より広範なマルウェア キャンペーンを戦略的に実現するものです。

モジュール設計、分析防止機能、多様な配信戦術により、柔軟性とステルス性を求める脅威アクターにとって最適なツールとなっています。

CastleLoader は、GitHub などの信頼できるプラットフォームを悪用し、ソーシャル エンジニアリングを通じてユーザーの行動を悪用することで、企業環境と開発者環境の両方で警戒と防御戦略を強化する必要があることを強調しています。

この脅威は進化し続けているため、防御側は新たな戦術に警戒を怠らず、大規模なサイバー犯罪を実行するために舞台裏で活動するローダーに対する防御を強化する必要があります。


トレンド

BlackFLランサムウェア

ランサムウェア
データがビジネス、コミュニケーション、そして日常業務の原動力となっているデジタル時代において、ランサムウェアの脅威はかつてないほど深刻化しています。データを人質に取るように設計された悪意のあるソフトウェアは、個人と組織の両方に壊滅的な被害をもたらす可能性があります。サイバーセキュリティの専門家によって最近発見された、特に狡猾な亜種の一つが、BlackFLランサムウェアです。データの暗号化、機...

Gerolaxの暗号通貨詐欺

不正なウェブサイト
デジタル金融が進化を続けるにつれ、それを悪用する詐欺も進化を続けています。サイバー犯罪者は、ソーシャルエンジニアリング、ディープフェイク、そして暗号通貨の分散型の性質を巧妙に利用して不正行為を実行するなど、その手口はますます巧妙化しています。Gerolax Crypto Scamは、合法的な暗号通貨取引プラットフォームを巧妙に偽装した、まさに欺瞞的なスキームの一つです。特にリスクの高い暗号通...

Batavia Spyware

マルウェア, スパイウェア
2024年7月以降、高度なサイバースパイ活動がロシアの組織を標的として活発に展開されています。この活動の中心となっているのは、これまで文書化されていなかった「Batavia」というスパイウェアで、正当な契約のオファーを装った偽の電子メールを通じて拡散されます。 感染の連鎖:電子メールからスパイ活動まで 攻撃は、攻撃者が管理するドメインoblast-ru.comから送信される、巧妙に細工された...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,142
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
45,994
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
45,390
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...