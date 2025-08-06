タグ
セキュリティー コンピュートとサーバー

サービス・オペレーションとしてのCastleBotマルウェアの分析

机の上に置かれた、赤いクリティカル・エラー・メッセージが表示されている3台のデジタル・モニター

著者

Golo Mühr

Malware Reverse Engineer

IBM

IBM X-Force® は、CaststBotと名付けられた新たなマルウェア・フレームワークを調査しています。このマルウェアは、Malware-as-a-Service（MaaS）オペレーションの一部であると考えられており、柔軟なマルウェアのデプロイメントのために特別に設計されたものです。CastleBotは現在、情報窃盗からNetSupportやWarmCookieのようなバックドアまで、あらゆるものを配信するためにサイバー犯罪者によって使用されている。

CastleBotを特に懸念すべきものにしているのは、その配布方法です。ほとんどの場合、偽のWebサイトからダウンロードされたトロイの木馬ソフトウェア・インストーラーを介して、無防備なユーザーを誘導し、そのユーザー自身に感染を開始させます。このテクニックは、X-Force® の観察において増加傾向を示しています。多くの場合、SEOポイズニングによって実現されることが多く、これにより悪意のあるページが正規のソフトウェア・ディストリビューターよりも検索エンジンで上位にランクされます。その内部に入ると、CatureBotはステージング/ダウンローダー、ローダー、そしてコマンド・アンド・コントロール（C2）サーバーに一連のタスクを要求するコア・バックドアという3段階のプロセスを実行します。感染したマシンから収集された情報を利用することで、オペレーターは被害者を簡単にフィルタリングし、進行中の感染を管理し、価値の高い標的にマルウェアを正確にデプロイすることができます。

CastleBotはまだ進化しており、私たちの研究によると、これはまだ初期段階にあると考えられます。このレポートでは、それがどのように機能するのか、どのように広がるのか、そしてなぜそれが問題になるのかについて分析します。

主な調査結果:

  • CastleBotは、幅広い悪意あるペイロードを配布するために使用されるおそれのあるマルウェア・アズ・ア・サービスとして運用されることが多い新しいマルウェアです。
  • ペイロードの後に続くのは、インフォスティーラーから、NetSupportやwarmCookieなどのランサムウェア攻撃にリンクされたバックドアまで多岐にわたります
  • X-Force® は、CastleBotを配布する最も一般的な感染経路として、トロイの木馬を使用したソフトウェア・インストーラーを確認しています。
  • CastleBotフレームワークには、ステージャー、ローダー、コアの3つのコンポーネントが含まれており、活発に開発されているようです
  • このマルウェアにより、オペレーターは被害者を簡単にフィルタリングし、ペイロードを更新し、ライフサイクル全体にわたって複数のキャンペーンを管理できるようになっています。

概要

CastleBotは2025年初頭に初めて登場しました。X-Force® は、5月からサンプル量とさまざまなペイロードが増加したことを記録し、それ以来、さまざまなバックドア・ペイロードとインフォスティーラー・ペイロードのデプロイメントを観察しています。CastleBotの最も一般的な感染経路はトロイの木馬であり、これはX-Force® が2024年から観測し続けている傾向の一部です。トロイの木馬は、多くの場合、SEOポイズニングを使用して偽のWebサイトを介して被害者を引き付けて配布されます。CastleBotはまた、正規のソフトウェアを装ってGitHubリポジトリから、および人気のClickFix技術を通じて配布されていました。

X-Force® は、CaststBotのマルウェア・フレームワークの一部として、ステージラー、ローダー、CastBotコア/バックドアの3つのコンポーネントを特定しました。

CastleBotの感染連鎖を示すフローチャート
図1：CastleBotの注入チェーン

Prodraftの以前の公開報告では「CastleLoader」と同じマルウェアフレームワークが言及されていることに注意してください。

「キャッション・ボット・ステージング」

ほとんどの場合、CatureBotのコア・コンポーネントは、同じCastBotマルウェア・ファミリーの一部であるシェルコード・ステージャーを介してデプロイされます。このステージャーは、他の第1段階のローダーによって注入が可能な軽量のシェルコード・ペイロードです。X-Force® では、AutoItベースのクリプターであるDave、Cでコンパイルされた単純なクリプターなど、CastleBotで使用されているさまざまなクリプターを確認しました。

このマルウェアは、DJB2ハッシュ・アルゴリズムを使用して、実行時に必要なAPIを解決します。API呼び出しの前に、対応するDLLをロードし、事前生成されたDJB2ハッシュを介してエクスポート・アドレス・テーブル（EAT）を横断してAPI関数を検索します。エクスポートが別のDLLに転送される場合、ステージャーはDLL名を解析し、ロードし、GetProcAddressを介して関数を解決します。

実行時に、ステージャーはユーザー・エージェント「Googlebot」を使用してHTTP経由で2つのペイロードをダウンロードします。URLパスはサンプル間で類似しており、CastleBotコアコンポーネントと同じC2サーバーをアドレスしています。

ダウンロードURLの例：

http://173.44.141[.]89/service/download/data_3x.bin

http://173.44.141[.]89/service/download/data_4x.bin

デコンパイルされたCastleBotステージャーのスクリーンショット
図2：デコンパイルされたCastleBotステージャーのスクリーンショット

どちらのペイロードも、ハードコードされたXOR文字列（この場合は、UTF-16エンコードされた「GySDoSGySDoS」）を介して復号化され、PE（CastleBotコア）とシェルコード・スタブ（CastleBot Loader）が明らかになっています。

Stagerは次に、VirtualProtectを使用して、復号化された2番目のシェルコード・ペイロードを格納しているメモリ領域のヒープ上での実行を可能にします。後者はローダーとして機能し、メモリ内で直接実行され、復号化されたPEへのポインタを引数として受け取ります。

他のキャッション・ボット・ローダー

Cast Bot Loaderはフル機能のPEローダーであり、提供されたPEの各セクションを、NtAllocateVirtualMemoryを使用して割り当てられた新しいメモリ領域にマッピングすることから始まります。さらに、必要な再配置を修正し、インポートを解決し、適切なメモリー保護オプションを設定し、既存のTLSコールバック機能を実行します。

特筆すべきは、このローダーは新しい LDR_DATA_TABLE_ENTRY構造体とそれに対応する LDR_DDAG_NODE（Windows 8 以降で拡張）もセットアップし、それらはその後、各プロセスのロードされたモジュールを含む PEB_LDR_DATA 二重リンクリストに追加されます。PEBを監視するEDRエージェントにとって、これにより、挿入されたペイロードはオペレーティング・システムによって正当に読み込まれたものであるかのように見えるようになります。

CoursBot LoaderによるLDR_DATA_TABLE_ENTRYとLDR_DDAG_NODE構造体の設定とPEB_LDR_DATAモジュール・リストへの挿入
図 3：LDR_DATA_TABLE_ENTRYと LDR_DDAG_NODE構造体をセットアップしてPEB_LDR_DATAモジュールリストに挿入しているCastleBot Loader

挿入されたファイルがDLLではない場合、PEBのImageBaseAddressフィールドにも、挿入されたペイロードの所在地が設定されます。

最後に、ペイロードを実行するために、CaststBot Loaderはエントリー・ポイントを実行するか、コンソール・アプリケーションに新しいコンソールを割り当てます。

CastleBot Loaderの主な機能を描写するコード
図4：CastleBot Loaderの主な機能

上記の分析済みサンプルでは、挿入されたペイロードは、x86 CastleBotバックドア（202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04）です。

CastleBotコア

CastleBotコアは、ハッシュアルゴリズムがArash Partow氏によって開発されたAPハッシュであることを除けば、ステージャーとローダーコンポーネントと同じAPI解決メカニズムを使用しています。

まず、バックドアはその構成を復号化することから始まります。バイナリー全体のほぼすべての文字列は、構成の一部を含めUTF-16として保管され、各文字列の一意の4バイトXORキーを介してインラインで復号化されます。復号化中に、以下の構成構造が作成されます。

struct CONFIG
{
  wchar_t *p_campaign_id;   //
81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3
  int size_utf16_campaign_id;
  int size_utf8_campaign_id;
  wchar_t *p_URL;           // http://173.44.141[.]89/service
  int size_utf16_URL;
  int size_utf8_URL;
  wchar_t *p_useragent;     // fTniXgvddlgotdAXke2CRZy
  int size_utf16_useragent;
  int size_utf8_useragent;
  wchar_t *p_mutex_name;    // 10KCnWHtIoABhkL2Cl3u
  int size_utf16_mutex_name;
  int size_utf8_mutex_name;
  DATA_BUFFER_STRUCT *p_chacha_key;     //
0x84fda801005fdd07340a1ca6d8a351adc6cfe9e39ffe7498a0955209ad2f7978
  int zero_34;
  DATA_BUFFER_STRUCT *p_chacha_nonce;       // 0x0b5ac47bfeeaf4af61726a5c
  int zero_3C;
};

このマルウェアは、設定の名前を使用してミューテックスを作成し、単一のインスタンスのみが実行されていることを確保しようとします。次のステップでは、URLパスのキャンペーンIDを使用して、ハードコードされたURLにHTTP GETリクエストを送信し設定を取得します。

GET
/service/settings/81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3 HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Pragma: no-cache
User-Agent: fTniXgvddlgotdAXke2CRZy
Host: 173.44.141[.]89

これに応答して、CastleBotは暗号化されたデータのブロックを受け取ります。

C2コミュニケーション

マルウェアの初期GETリクエストを除いて、すべてのC2通信は対称ChaChaアルゴリズムによって暗号化されます。復号化後、C2プロトコルは、内部的にはコンテナと呼ばれるシリアル化されたカスタム・データ構造を使用し、さまざまな型の値をコンテナに保管できます。

シリアル化されたコンテナ

シリアル化されたデータ構造のルートには、常に型がContainerFieldArrayのフィールドがあります。以下の構造は、アレイ型とブール型の設定方法をさらに定義します。

enum ContainerFieldType {
    CONTAINER_FIELD_TYPE_NONE,
    CONTAINER_FIELD_TYPE_BOOL,
    CONTAINER_FIELD_TYPE_UINT8,
    CONTAINER_FIELD_TYPE_INT8,
    CONTAINER_FIELD_TYPE_UINT16,
    CONTAINER_FIELD_TYPE_INT16,
    CONTAINER_FIELD_TYPE_UINT32,
    CONTAINER_FIELD_TYPE_INT32,
    CONTAINER_FIELD_TYPE_UINT64,
    CONTAINER_FIELD_TYPE_INT64,
    CONTAINER_FIELD_TYPE_STRINGA,
    CONTAINER_FIELD_TYPE_STRINGW,
    CONTAINER_FIELD_TYPE_BLOB,
    CONTAINER_FIELD_TYPE_ARRAY
}

struct FIELD_NAME {
    WORD fieldname_len;
    wchar fieldname[];
}

struct CONTAINER_FIELD_ARRAY {
    ContainerFieldType type;
    FIELD_NAME field_name;
    SIZE_T size;
    union {
        CONTAINER_FIELD_NONE none;
        CONTAINER_FIELD_BOOL bool;
        CONTAINER_FIELD_UINT8 uint8;
        CONTAINER_FIELD_INT8 int8;
        CONTAINER_FIELD_UINT16 uint16;
        CONTAINER_FIELD_INT16 int16;
        CONTAINER_FIELD_UINT32 uint32;
        CONTAINER_FIELD_INT32 int32;
        CONTAINER_FIELD_UINT64 uint64;
        CONTAINER_FIELD_INT64 int64;
        CONTAINER_FIELD_STRINGA stringa;
        CONTAINER_FIELD_STRINGW stringw;
        CONTAINER_FIELD_BLOB blob;
        CONTAINER_FIELD_ARRAY array;
    };
}

struct CONTAINER_FIELD_BOOL {
    ContainerFieldType type; // CONTAINER_FIELD_TYPE_BOOL=0x01
    FIELD_NAME field_name;
    BYTE bool;
}

バックドアによって要求された設定を定義する復号化されたコンテナを解析する場合、データはバイト「0x0D」から始まり、ContainerFieldArray型を示します。そのバイトの後にフィールド名が続きます。フィールド名自体は2バイトの長さで、その後にUTF-16でエンコードされた名前が続きます。名前の後、配列フィールドはデータの4バイトの長さを定義し、その後にデータ自体が続きます。これもまた、型を定義する最初のバイトから始まります。

CastleBot 設定コンテナ

上記で分析されたサンプルで受け取られた設定は、次のように解析されます。

シリアル化されたデータ：

00000000  0d 08 00 72 00 6f 00 6f 00 74 00 89 00 00 00 0d  |...r.o.o.t......|
00000010  10 00 73 00 65 00 74 00 74 00 69 00 6e 00 67 00  |..s.e.t.t.i.n.g.|
00000020  73 00 72 00 00 00 01 18 00 72 00 75 00 6e 00 5f  |s.r......r.u.n._|
00000030  00 61 00 73 00 5f 00 61 00 64 00 6d 00 69 00 6e  |.a.s._.a.d.m.i.n|
00000040  00 00 01 0e 00 61 00 6e 00 74 00 69 00 5f 00 76  |.....a.n.t.i._.v|
00000050  00 6d 00 00 01 1e 00 70 00 72 00 65 00 76 00 65  |.m.....p.r.e.v.e|
00000060  00 6e 00 74 00 5f 00 72 00 65 00 73 00 74 00 61  |.n.t._.r.e.s.t.a|
00000070  00 72 00 74 00 00 01 1e 00 73 00 68 00 6f 00 77  |.r.t.....s.h.o.w|
00000080  00 5f 00 66 00 61 00 6b 00 65 00 5f 00 65 00 72  |._.f.a.k.e._.e.r|
00000090  00 72 00 6f 00 72 00 00                          |.r.o.r..|

非シリアル化されたオブジェクト：

root: {
    settings: {
        run_as_admin: False,
        anti_vm: False,
        prevent_restart: False,
        show_fake_error: False,
    }
}

有効化された各設定に対して、CastleBotは以下の操作を行います。

run_as_admin： マルウェアは、「runas」動詞を使ってShellExecuteW経由で「cmd.exe /c <parent_process>」経由で親を実行し、管理者として起動します。

anti_vm：CastleBotは0x40000000リーフのcpuid命令を使ってハイパーバイザー環境の検知を試みます。VMwareまたはParallelsのいずれかが検出された場合、マルウェアは終了します。

prevent_restart：エージェントは、構成に組み込まれているミューテックス名と一致する名前で%PROGRAMDATA%に新しい隠しファイルを作成します。ファイルがすでに存在する場合、マルウェアは終了します。

Show_fake_error： マルウェアは、「システムエラー」メッセージ・ボックスを表示し、「VCRUNTIME140.dllがコンピューターに欠落しているため、プログラムを開始できません、この問題を修正するには、プログラムを再インストールしてください。」」というメッセージを表示します。

ホスト列挙

次のステップでは、CastleBotは感染したホストの情報を収集し、C2サーバーに登録し、タスクを要求します。

  • GetUserNameW経由のユーザー名
  • GetComputerNameW経由のNetBIOS名
  • IsWow64Process経由のシステム・アーキテクチャ
  • LsaQueryInformationPolicyを使用してPolicyDnsDomainInformation構造体を取得するローカルDNSドメイン名。。デフォルト値は「WORKGROUP」です。
  • GetVolumeInformationW経由で取得されたボリュームのシリアル番号。Rolesは、乗数「0x41C64E6D 」と加算値「0x3039」の線形合同器（LCG）を使用して、一意の被害者IDを計算します。
  • Windowsバージョン（RtlGetVersionおよびGetSystemMetrics(89)経由）

情報は、以下のオブジェクトにコンパイルされ、その後、シリアル化とChaCha暗号化が行われます。

root: {
    information: {
        access_key: "fTniXgvddlgotdAXke2CRZy",
        campaign_identifier:
"81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3",
        machine_id: <calculated_victim_id>,
        build_version: "1.0",
        username: <username>,
        computer_name: <NetBIOS name>,
        domain_name: <local DNS domain name>,
        windows_version: <Windows version>,
        arch: <system architecture>,
    }
}

ハードコードされた値は、アクセスキー（構成からのUser-Agentと同じ）、キャンペーン識別子、およびCastilltBotのビルド・バージョン（1.0）が、分析されたサンプルには見られます。

バックドアは、暗号化されたデータをHTTP POSTリクエストで送信します

http://173.44.141[.]89/service/tasks

応答は、CastleBotの事前構成されたタスクを担う大規模な暗号化コンテナです。

CastleBotタスクコンテナ

分析されたCastBotサンプルによってC2サーバーから受信されたコンテナは、復号化され、次のフィールドを含むオブジェクトにデシリアル化されます。

root: {
    access_key: "fTniXgvddlgotdAXke2CRZy",
    tasks: {
        {
            id: 16,
            url: "http://173.44.141[.]89/service/download/docusign2.exe",
            install_path: "%TEMP%\docusign-auth2.exe",
            launch_method: 1,
            argument: "",
            run_as_admin: False,
            startup_method: 1,
            is_encrypted_container: False,
            container_encryption_key: "",
            auto_unpack_zip: False,
            zip_executable_files: {},
        }
    }

}

「tasks」フィールドは、上記で詳しく説明したようにカスタム・タイプの配列であり、それぞれがタスクを表す名前のない（名前長がゼロ）の配列を少なくとも1つ含みます。CastleBotは、複数のタスクを実行するために順番に配列を受け取ることもあります。各タスクには、タスクの実行方法を詳細に示すIDと複数のフィールドが含まれており、これらはデシリアル化中にタスク構造体にコピーされます。

タスクの実行

各タスクの最も重要なフィールドは「launch_method」であり、CaststBotが処理するペイロードのタイプを決定します。

ローンチ・メソッド

ペイロード

実行

1

URLからダウンロードしたEXE

CreateProcessW または ShellExecuteW経由

2

URLからダウンロードしたDLL

ShellExecuteWおよびrundll.exe経由

3

URLからダウンロードしたDLL

LoadLibraryW経由

4

URLからダウンロードしたPE

新しいプロセスに注入

5

「argument」フィールドのPowerShellコマンド

ShellExecuteW経由

6

「argument」フィールドのBATコマンド

ShellExecuteW経由

他のフィールドは、タスクの実行に向けて特定のオプションを設定するために使用されることがあります。

フィールド名

説明

ID

実行の成功をC2サーバーに報告するために使用される一意のタスクID

URL

ペイロードを取得するためのURL。ペイロードは多くの場合、C2サーバーhttp://<castlebot_c2>/service/download/<payload_name>でホストされています。

install_path

プロセス・インジェクションのターゲット・パス。環境変数、または単純に「:SELF:」を含む場合があります。これはペイロードを親プロセスの複製に挿入します。

引数

install_pathのプロセスまたはPowerShell/BAT実行のためのコマンドの引数

run_as_admin

設定されている場合、ShellExecuteW経由の実行では「runas」動詞が使用されます。

startup_method

「1」に設定すると、毎回のログオンでトリガーされるスケジュールされたタスクを介してペイロードの永続性が作成されます。

is_encrypted_container

設定された場合、URLからダウンロードされたペイロードはRC4で復号化され、タスクのペイロードを取得するための別のコンテナとして解析されます。

container_encryption_key

暗号化されたコンテナで使用されるRC4キー。

auto_unpack_zip

設定されている場合、ペイロードはZIPファイルとして処理され、手動で抽出されます。

zip_executable_files

起動方法に応じて実行されるZIPアーカイブ内のターゲット・ファイルのリスト。

wow64_bypass

代わりに32ビットのシステムバイナリを起動するかどうかを指定するために、最近追加されたオプション。

  

プロセス注入

CastleBotは、PEペイロードのシンプルなプロセス・インジェクションをサポートしています。まず、インストール・パスと引数フィールドに基づいて、新しい中断中のプロセスを作成します。Windows 11 24H2 以降で作業するために、マルウェア開発者は NTDLL のNtManageHotPatch関数をメモリにフックして、新しく追加されたメモリチェックを回避するようにしています。詳細についてはHasherezadeの投稿をご覧ください、これにはCastleBotが使うPOC実装も、正確に掲載されています。

CastleBotがNtManageHotPatchをフックする様子を描いたコード
図5: NtManageHotPatchをフックしているCastleBot

プロセス・インジェクションの残りの部分は、ターゲット・プロセスにメモリーを割り当て、セクションをバッファーに書き込み、実行を再開する前にスレッド・コンテキストを変更するという、一般的なインジェクション手法に従います。

CastleBotのプロセス注入を表すコード
図6：CastleBotのプロセス・インジェクション

永続性

スタートアップ方法フィールドが「1」に設定されている場合、CastleBotはスケジュールされたタスクを作成することで永続性を確立します。タスクを登録するために、マルウェアは、ITaskService COMインターフェースを使用してタスク・スケジューラー・サービスに接続します。これは、新しいタスクとターゲット・ペイロードの実行アクションを作成し、これは現在のユーザーがログオンするたびにトリガーされます（TASK_TRIGGER_LOGON）。

タスク完了

"tasks" コンテナ内の各タスクは、指定されたフィールドに従って反復的に処理されます。タスクがエラーなく完了すると、マルウェアは次の URL に対して HTTP GET リクエストを通じて実行の成功を報告します。

http://<c2_server>/service/tasks/complete/id/<task_id>

2025 年 7 月のアップデート

X-Force® は、CastleBotのコアの亜種が更新され、新しい起動方法と、SysWOW64 フォルダ内の 32 ビットシステムバイナリを特別に起動するために使用される、"wow64_bypass" と呼ばれるオプションをサポートしていることを確認しました。

ローンチ・メソッド

ペイロード

実行

1

URLからダウンロードしたEXE

CreateProcessW または ShellExecuteW経由

2

URLからダウンロードしたDLL

ShellExecuteWおよびrundll.exe経由

3

URLからダウンロードしたDLL

ShellExecuteW および regsrv32.exe経由

4

URLからダウンロードしたDLL

LoadLibraryW経由

5

URLからダウンロードしたPE

古いメカニズムを介して新しいプロセスに注入

6

URLからダウンロードしたPE

PEローダーを介して新しいプロセスに注入

7

「argument」フィールドのPowerShellコマンド

ShellExecuteW経由

8

「argument」フィールドのBATコマンド

ShellExecuteW経由

9

URLからダウンロードしたMSI

ShellExecuteWおよびmsiexec.exe経由

追加のプロセス・インジェクションの実装（ローンチ・メソッド6）では、CastleBot Loaderコンポーネント（上記の分析セクションを参照）とPEペイロードの両方がターゲット・プロセスに書き込まれます。その後、QueueUserAPCおよびResumeThreadを使って実行をローダーに転送し、ローダーはPEペイロードを適切にメモリにロードして実行します。

QueueUserAPCを介したプロセス・インジェクションを示すコード
図7：QueueUserAPCを介したプロセス・インジェクション

この手法では、WriteProcessMemory API呼び出しの使用回数が大幅に減り、CastleBot Loaderスタブからのより完全な読み込み機能が提供されます。

キャンペーンとペイロード

CastleBotの主な目的は、被害者マシンへの二次ペイロードのデプロイメントを可能にすることです。X-Force® は、CauseBotによって配信される複数の異なるペイロードを明らかにしました。多くの場合、1つのキャンペーンで複数のペイロードが使用されていました。各ペイロードは、コモディティ・インフォスティーラーから、ランサムウェア攻撃と関連付けられているNetSupportやWarmCookieなどのより強力なバックドアまで、その洗練度によって異なります。

ProdaftのC2パネルの分析とスクリーンショットによるとCastleBot MaaSフレームワークは、オペレーターが感染したマシンをフィルタリングし、複数のアクティブなキャンペーンを簡単に管理できるよう容易に更新できるようです。ペイロードの流動性と、オペレーターが複数のタスクやペイロードを1つのキャンペーンに追加できるため、CarayBotの感染チェーンは、従来の静的なマルウェアの段階と比較してより複雑です。

X-Force® には、ダークウェブ上でMaaSの広告が広く展開されているという証拠はなく、これはサービスが現在非公開のアフィリエイト・グループにのみ販売されている可能性があることを示しています。

NetSupport

マルウェアは独自のフレームワークとして特定されていませんが、NetSupportにつながるキャンペーンのさまざまな断片が、2025年6月と7月に他の研究者によって公に報告されました。

DomainToolsが観察されましたという、ClickFix技術を用いた偽のDocuSignページが悪意のあるPowerShellスクリプトを実行し、そのスクリプトがCastleBotをダウンロードしてNetSupportをデプロイします。キャンペーンIoC：

a2898897d3ada2990e523b61f3efaacf6f67af1a52e0996d3f9651b41a1c59c9: PowerShell
script downloading and extracting a ZIP archive before executing “jp2launcher.exe”
d6eea6cf20a744f3394fb0c1a30431f1ef79d6992b552622ad17d86490b7aa7b:
“msvcp14.dll” crypted  CastleBot stager DLL-sideloaded by “jp2launcher.exe”.
http://mhousecreative[.]com/service/ -  CastleBot C2 server for stager and core components.
“5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4” - CastleBot campaign ID
http://mhousecreative[.]com/service/download/general_1 - NetSupport download
URL hosted on  CastleBot C2 server
2a2cd6377ad69a298af55f29359d67e4586ec16e6c02c1b8ad27c38471145569: NetSupport payload

PaloAltoのUnit42が報告した、DocuSignやOktaを模倣するウェブサイトでも同様の活動があり、ClickFixを使って初期のステージャーとローダーコンポーネントを通じてCastleBotをデプロイしています。これには、「NetSupport RAT Loader」の部分的な分析が含まれており、X-Force® はこれをCastleBotのフレームワークとして特定しています。キャンペーンIoC：

8b2ebeff16a20cfcf794e8f314c37795261619d96d602c8ee13bc6255e951a43: PowerShell
script downloading and extracting a ZIP archive before executing “jp2launcher.exe”
cbaf513e7fd4322b14adcc34b34d793d79076ad310925981548e8d3cff886527:
“msvcp14.dll” crypted  CastleBot stager DLL-sideloaded by “jp2launcher.exe”. 
http://80.77.23[.]48/service/ -  CastleBot C2 server for stager and core components.
“5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4” -  CastleBot campaign ID

warmCookie

CastleBotのより興味深いペイロードの1つは、WarmCookieバックドア（別名Quickbind、BadSpace）です。このマルウェアは、ランサムウェア攻撃を可能にする大規模なサイバー犯罪エコシステムの一部である可能性が高く、2024年の「Operation Endgame」で国際的な法執行機関が標的とすることに成功したマルウェアファミリーの一つです。X-Force® の観察によると、2025年には目立った活動は観測されていないものの、以前は、悪意のあるEメールキャンペーンを通じて、脅威アクターHive0137がWarmCookieを配布していました。WarmCookieはTA866/Asylum Ambuscadeオペレーションと関係していることが公になっています。

X-Force® が観察したキャンペーンは、正規のソフトウェアSSMS-20.2-enu.zip（4766f5cc6501fc40c7151a0ce1c9d2cc49fca9b0b9cab2a206dd2426947e9afe）のインストーラーを模倣した武器化されたZIPアーカイブを使用し、6月に始まりました。正規のコンポーネントの中には、Dave Loaderの亜種として特定された悪意のある実行ファイル SSMS_Windows.x64.exe（05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8）が含まれており、この実行ファイルはそのリソース内に格納されたペイロードを復号化します。復号化の後, Dave LoaderはCastleBot バックドア（202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04）を注入し,これが、WarmCookieペイロード（5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4）をダウンロードおよび実行するためのタスクを受信します。

http://173.44.141[.]89/service/download/docusign2.exe

WarmCookie C2サーバーは次の場所にあります。

170.130.165[.]112

6月後半に発見された2番目のサンプルでは、ZscalerソフトウェアZscaler-windows-4.4.0.379-installer-x64.exe（bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890）のインストーラーを模倣した同様の実行可能ファイルを使用していました。AutoIt でコンパイルされたバイナリーは、単純なシェルコード・ローダーであり、埋め込まれたCastleBotステージラーを実行し、同じCastleBotバックドア・バイナリー（202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04）をダウンロードします。

親のCastleBotサンプルのサンドボックス実行は、同じアフィリエイトがキャンペーン中に「http://107.158.128[.]105/c91252f9ab114f26.php」のC2サーバーでStealCペイロードをドロップした可能性があることを示しています。しかし、X-Force® はサンプルを取得できませんでした。

どちらのキャンペーンも、CastleBotキャンペーンID「 81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3 」を使用しています。

インフォスティーラー

さらに、X-Force® は、さまざまなインフォスティーラーを配信する複数のCastleBotキャンペーンを追跡しています。マルウェアはあらゆるキャンペーンの複数のダウンロード・タスクをサポートしているため、同じクライアントに複数のペイロードがデプロイメントされることになります。実行形式AMD_Chipset_DriverOnly_DCH_AMD_Z_V1.2.0.105_20238.exe（e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85）は、そのリソースから埋め込まれたCastleBotコア・ペイロード（b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2）を読みこみ、それを実行しますC2サーバーの設定エンドポイントは次にあります

http://62.60.226[.]73/service/settings/32e7ebb66296d22b4cf28dbe6d8dfd314590175d5fc2168609886985d6c807c1

これは、1つのC2メッセージで合計3つの別々のタスクを送信し、それぞれが異なるペイロードをデプロイすることがわかりました。

  • タスクID：0x16
    • ダウンロードURL: https[:]//google.herionhelpline[.]com/app/AcerUSBUpdate.exe
    • ペイロード：03122e46a3e48141553e7567c659642b1938b2d3641432f916375c163df819c1（Rhadamanthys）
    • インストール経路:なし
    • 起動方法：6
  • タスクID：0x17
    • ダウンロードURL: https[:]//google.herionhelpline[.]com/app/light1_v5_signed.html
    • ペイロード：12de997634859d1f93273e552dec855bfae440dcf11159ada19ca0ae13d53dff（Remcos）
    • インストールパス：%ProgramData%\AmazonApp\AmazonWebServiceUpdate.exe
    • 起動方法：1
  • タスクID：0x18
    • https[:]//google.herionhelpline[.]com/app/SlackUpdateWeb.html
    • ペイロード： c8f95f436c1f618a8ef5c490555c6a1380d018f44e1644837f19cb71f6584a8a (DeerStealer)
    • インストール・パス：%AppData%\SlackUpdate\SlackServiceUpdate.exe
    • 起動方法：1

X-Force® は、さらにSecTopRAT（別名ArechClient)）HijackLoader（別名Shadowladder）、MonsterV2（別名Aurotun Stealer）をデプロイするキャンペーンを発見しました。

SecTopRATとHijackLoader:

  • 実行形式sideloading msvcp140.dll（8bf93cef46fda2bdb9d2a426fbcd35ffedea9ed9bd97bf78cc51282bd1fb2095）を含むGlobalProtect-win-6.3.zip
  • CastleBot C2サーバー：http[:]//107.158.128[.]45/service/settings/81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3
  • http[:]//107.158.128[.]45/service/download/Exchanger32.zip（4834bc71fc5d3729ad5280e44a13e9627e3a82fd4db1bb992fa8ae52602825c6）でホストされるペイロード

MonsterV2：

  • libssl-1_1.dll（53dddae886017fbfbb43ef236996b9a4d9fb670833dfa0c3eac982815dc8d2a5） DLL-sideloaded, 反射的に CastleBot ステージャをインジェクション
  • CastleBot C2サーバー：http[:]//107.158.128[.]45/service/settings/8306a6b35d4be6de72be58860791e3644468fd67f675e4045a246dd27fa5692c
  • http[:]//107.158.128[.]45/service/download/CCver_Setup.exe（ab725f5ab19eec691b66c37c715abd0e9ab44556708094a911b84987d700aa62）でホストされるペイロード

まとめ

CastleBotは、サイバー犯罪の脅威における初期感染ベクトルが変化したことを示す最新の証拠です。バックドアやMaaSフレームワークは、トロイの木馬の一部として、またはClickFix技術を通じ、偽のWebサイトを介して配布されることが増えています。CastleBotの活動の増加を観察してから数か月以内に、開発者はすでにいくつかの主要な機能を追加しており、EDRおよびネットワーク・セキュリティー・ソリューションの適応に追いつくと考えられます。現在の活動では、複数のアフィリエイトがCastleBotを利用してインフォスティーラーとバックドアの両方をデプロイしていることが示唆されており、これが大きな影響を与えるランサムウェア・インシデントにつながる可能性があります。

防御側には、このレポートで言及されている手法に警戒を続け、CastleBot感染のリスクを軽減するための適切な行動を取ることが推奨されます。

推奨事項

  • EDR（エンドポイントの検知と対応）ソフトウェアと関連するセキュリティー管理を最新の状態に保つ
  • ソフトウェアをダウンロードする際には細心の注意を払い、未承認のソフトウェアまたは未検証のソフトウェアをインストールすること避けるよう、ユーザーをトレーニングする
  • 多要素認証を実装し、漏洩したエンタープライズ認証情報を監視する
  • アラートを設定するか、送信HTTP（非HTTPS）接続および、特にIPアドレスを含むURLのブロックを検討する

妥協の兆候

分類

インジケータータイプ

コンテキスト

http://173.44.141[.]89/service/
download/data_4x.bin

URL

CastleBotコアダウンロードURL

http://173.44.141[.]89/service/
download/data_3x.bin

URL

CastleBot Loader ダウンロードURL

http://173.44.141[.]89/service/

URL

CastleBot C2サーバー

http://mhousecreative
[.]com/service/

URL

CastleBot C2サーバー

http://80.77.23[.]48/service/

URL

CastleBot C2サーバー

http://62.60.226[.]73/service/

URL

CastleBot C2サーバー

http://107.158.128[.]45/service/

URL

CastleBot C2サーバー

http://62.60.226[.]73/service/

URL

CastleBot C2サーバー

202f6b6631ade2c41e4762e5
877ce0063a3beabce0c3f85
64b6499a1164c1e04

SHA256

CastleBotコア

a2898897d3ada2990e523b6
1f3efaacf6f67af1a52e0996d3f
9651b41a1c59c9

SHA256

ZIPアーカイブをダウンロードおよび解凍するPowerShellスクリプト

d6eea6cf20a744f3394fb0c
1a30431f1ef79d6992b55262
2ad17d86490b7aa7b

SHA256

暗号化されたCastleBot のステージャー

http://mhousecreative[.]com
/service/download/general_1

URL

NetSupportのダウンロードURL（5月13日）

2a2cd6377ad69a298af55f2
9359d67e4586ec16e6c02c1
b8ad27c38471145569

SHA256

NetSupport のZIPペイロード

8b2ebeff16a20cfcf794e8f31
4c37795261619d96d602c8e
e13bc6255e951a43

SHA256

ZIPアーカイブをダウンロードおよび解凍するPowerShellスクリプト

cbaf513e7fd4322b14adcc34
b34d793d79076ad31092598
1548e8d3cff886527

SHA256

暗号化されたCastleBot のステージャー

05ecf871c7382b0c74e5bac
267bb5d12446f52368bb1bfe
5d2a4200d0f43c1d8

SHA256

DaveLoader

http://173.44.141[.]89/service/
download/docusign2.exe

URL

WarmCookieのダウンロードURL（6月6日）

5bca7f1942e07e8c12ecd9c80
2ecdb96570dfaaa1f44a6753e
bb9ffda0604cb4

SHA256

WarmCookieのペイロード

170.130.165[.]112

IPv4

WarmCookie C2サーバー

bf21161c808ae74bf08e8d7f83
334ba926ffa0bab96ccac42dd
e418270387890

SHA256

CastleBotステージャー用のAutoItローダー

http://107.158.128[.]105/c9125
2f9ab114f26.php

URL

StealC C2サーバー

e6aab1b6a150ee3cbc721ac25
75c57309f307f69cd1b478d49
4c25cde0baaf85

SHA256

CastleBotコアが含まれるローダー

b45cce4ede6ffb7b6f28f75a0c
bb60e65592840d98dcb63155
b9fa0324a88be2 

SHA256

CastleBotコア

https://google.herionhelpline
[.]com/app/AcerUSBUpdate.
exe

URL

RhadamanthysのダウンロードURL（7月10日）

03122e46a3e48141553e7567
c659642b1938b2d3641432f9
16375c163df819c1 

SHA256

Rhadamanthysの第1段階ペイロード

https://google.herionhelpline
[.]com/app/light1_v5_signed.
html

URL

RemcosのダウンロードURL（7月10日）

12de997634859d1f93273e55
2dec855bfae440dcf11159ada19
ca0ae13d53dff 

SHA256

Remcosのペイロード

https://google.herionhelpline[.]com
/app/SlackUpdateWeb.html

 

URL

DeerStealerのダウンロードURL（7月10日）

c8f95f436c1f618a8ef5c49055
5c6a1380d018f44e1644837f19
cb71f6584a8a 

SHA256

DeerStealerのペイロード

8bf93cef46fda2bdb9d2a426
fbcd35ffedea9ed9bd97bf78c
c51282bd1fb2095

SHA256

暗号化されたCastleBot のステージャー

http://107.158.128[.]45/service
/download/Exchanger32.zip

URL

HijackLoaderおよびSecTopRATのダウンロードURL（7月5日）

4834bc71fc5d3729ad5280e4
4a13e9627e3a82fd4db1bb992
fa8ae52602825c6

SHA256

HijackLoader とSecTopRAT ZIPのペイロード

53dddae886017fbfbb43ef2369
96b9a4d9fb670833dfa0c3eac
982815dc8d2a5

SHA256

暗号化されたCastleBot のステージャー

http://107.158.128[.]45/service
/download/CCver_Setup.exe

URL

MonsterV2のダウンロードURL（7月10日）

ab725f5ab19eec691b66c37c715
abd0e9ab44556708094a911b8
4987d700aa62

SHA256

MonsterV2のペイロード

IBM X-Force Premier Threat Intelligenceが、FiligranのOpenCTIと統合され、この脅威アクティビティなどに関する実行可能な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種・業務リスクに関する洞察にアクセスしてください。X-Force OpenCTIコネクタ を導入して、IBM X-Force® の専門知識により、検知と対応、そしてサイバーセキュリティーを強化しましょう。X-Force Premier Threat Intelligenceの30日間トライアルを今すぐご利用ください。
