Source: https://thehackernews.com/2025/09/tag-150-develops-castlerat-in-python.html
🛡 概要
最近、TAG-150というサイバー犯罪者グループが開発したリモートアクセス型トロイの木馬(RAT)であるCastleRATが注目を集めています。このマルウェアは、PythonおよびC言語で実装されており、システム情報の収集、追加のペイロードのダウンロードと実行、CMDやPowerShellを介したコマンド実行が可能です。CastleRATは、TAG-150のマルウェアファミリーCastleLoaderの一部として機能し、初期アクセスベクターとして広範な二次ペイロードに対して利用されています。
🔍 技術詳細
CastleRATは、C言語とPythonの2つのバージョンが存在します。Cバージョンは、キー入力の記録、スクリーンショットのキャプチャ、ファイルのアップロード・ダウンロード、クリプトカレンシークリッパー機能を備えています。特に、クリップボードにコピーされたウォレットアドレスを攻撃者の制御下にあるものに置き換えることが目的です。また、ip-api.comを利用して、感染したホストの公開IPアドレスに基づく情報を収集しますが、最近のバージョンでは市区町村や郵便番号の取得が削除されていることが確認されています。これにより、アクティブな開発が行われていることが示唆されています。
⚠ 影響
CastleRATの登場により、サイバーセキュリティの脅威が一層深刻化しています。このマルウェアは、企業や個人のデータを危険にさらし、特に金融情報の窃取やリモートアクセスを通じたさらなる攻撃の可能性を秘めています。感染は主に、Cloudflareを模倣したフィッシング攻撃や偽のGitHubリポジトリを通じて行われます。TAG-150は、マルウェアを配布するために複数の層から成るインフラを利用しており、特にTier 1のコマンド・アンド・コントロール(C2)サーバーが直接的な攻撃を行います。
🛠 対策
CastleRATの脅威に対抗するためには、まずユーザー教育が重要です。フィッシング攻撃を避けるため、信頼できないリンクやファイルを開かないように注意することが必要です。また、最新のセキュリティソフトウェアを導入し、定期的なシステムスキャンを行うことで、マルウェアの早期発見と除去が可能です。さらに、Windows Defenderなどのセキュリティ機能を有効にし、UAC(ユーザーアカウント制御)の設定を見直すことで、マルウェアの侵入を防ぐことができます。加えて、ネットワークの監視を強化し、不審な活動を即座に検出できる体制を整えることが重要です。
