PR

GrayBravoのCastleLoader MaaSを使う4脅威クラスタ

Security

Source:https://thehackernews.com/2025/12/four-threat-clusters-using-castleloader.html

🛡 概要

Recorded FutureのInsikt Groupが追跡するGrayBravo(旧称TAG-150)が提供するマルウェアローダー「CastleLoader」を複数の脅威アクターが活用し、少なくとも4つの活動クラスタが並行して展開されています。GrayBravoは迅速な開発サイクルと高い技術適応力、拡張し続ける多層インフラを特徴とし、CastleLoaderを中核としたマルウェア・アズ・ア・サービス(MaaS)としての提供が強まっていることが確認されました。これにより、ロジスティクス業界を狙ったフィッシングやClickFixを起点とする感染、Booking.comテーマの誘導、さらにはZabbix/RVToolsを装う偽アップデートやマルバタイジング経由の侵入が観測されています。

🔍 技術詳細

GrayBravoのツール群は、CastleLoaderに加え、RATであるCastleRAT、そして「CastleBot」と呼ばれるフレームワークで構成されます。CastleBotは「シェルコードのステージャ/ダウンローダ」「ローダ」「コアバックドア」の3層で構成され、CastleBotローダ(CastleLoaderに相当)がコアモジュールをプロセス内にインジェクションします。コアはC2へ接続し、DLL/EXE/PEのダウンロードや実行などのタスクを取得します。これにより、DeerStealer、RedLine Stealer、StealC Stealer、NetSupport RAT、SectopRAT、MonsterV2、WARMCOOKIE、Hijack Loaderなど、多様なファミリーが二次配布されます。インフラは多層化され、被害者向けのTier 1 C2(CastleLoader/CastleRAT/SectopRAT/WARMCOOKIEに紐づく)と、バックアップ役とみられる複数のVPSが運用されています。

最新分析では、以下の4クラスタが確認されています。
・Cluster 1(TAG-160):ロジスティクス業界を標的とし、フィッシングとClickFixでCastleLoaderを配布(2025年3月以降活動)。貨物マッチング(DAT Freight & Analytics、Loadlink Technologies)上の不正/侵害済みアカウントを利用し、実在企業になりすました高い信ぴょう性のある連絡を装います。
・Cluster 2(TAG-161):Booking.comを騙るClickFixキャンペーンでCastleLoaderとMatanbuchus 3.0を配布(2025年6月以降)。
・Cluster 3:Booking.comを模したドメイン、ClickFix、さらにSteam Communityページをデッドドロップリゾルバとして用い、CastleLoader経由でCastleRATを展開(2025年3月以降)。
・Cluster 4:マルバタイジングとZabbix/RVToolsを装う偽アップデートでCastleLoaderとNetSupport RATを配布(2025年4月以降)。

本件は主として社会工学(フィッシング、偽更新、ブランド偽装、デッドドロップ)とローダ連鎖に基づく配布であり、特定の脆弱性悪用(CVE)やCVSSスコアは現時点で公表されていません。なお、類似キャンペーンではSmartScreen回避などの脆弱性が悪用された事例がありますが、本件での使用は未確認です。

⚠ 影響

CastleLoaderは多様なスティーラーやRATを下流に展開できるため、認証情報窃取、端末支配、横移動、機密データ流出、業務停止、請求/配送詐欺の踏み台化などの複合被害を引き起こします。ロジスティクス領域では架空案件や請負偽装を通じた信用毀損・金銭損失が拡大しやすく、Booking.comを装うテーマや偽アップデートは一般社員にも広く刺さるため、全社的なリスクに発展し得ます。

🛠 対策

  • メール/ブラウザ保護:HTML添付(ClickFix系)とHTML Smugglingの検査強化、URL再書き換え、添付のサンドボックス実行。広告経由のダウンロードをブロック。
  • アプリ実行制御:Application Allowlisting(AppLocker/WDAC)、未知のEXE/DLL/PEとユーザ領域からのローダ実行を制限。
  • EDR強化:メモリインジェクション(RWXページ生成、非正規のCreateRemoteThread/MapViewOfFile/Process Hollowing)の検知を有効化。
  • ネットワーク:TLS復号可能な範囲でのHTTP(S)検査、異常な小型POST/タスクポーリングの頻度監視、ブランドなりすましドメインや短命VPSの通信遮断。
  • SaaS/業界プラットフォーム:DAT/Loadlink等での2要素認証、有効ユーザの定期棚卸し、不審なメッセージや案件登録の監査。
  • ユーザ教育:偽の「修復」「アップデート」ボタンに誘導する手口(ClickFix)と偽インストーラ手口の周知。
  • インシデント備え:初動隔離手順、フルディスク取得、資格情報リセット、外向け通知テンプレートの整備。

📌 SOC視点

  • ホスト監視:EDR/Sysmonでのプロセス生成(Event ID 1)、ネットワーク接続(ID 3)、画像読み込み(ID 7)、ファイル作成(ID 11)、レジストリ変更(ID 12-14)。未知プロセスからの短周期HTTPSポーリングや、ユーザ起点直後のDLLサイドロード/プロセスインジェクションを相関。
  • メール/Proxyログ:HTML添付開封直後に外部からPE/DLL取得が発生していないか。広告クリック直後の実行ファイル取得と一貫したUser-Agentを相関。
  • ブランド偽装検知:Booking/Zabbix/RVTools類似ドメイン、Steam Communityの特定固定URLからのテキスト取得が端末常駐プロセスで発生していないかのハント。
  • HT/JSアーカイブ:ClickFix系HTMLの保存・静的解析(フォーム/ボタン押下での自動ダウンロード、Blob/atobによるペイロード復号の有無)。

📈 MITRE ATT&CK

  • Initial Access: T1566.001(添付型フィッシング)/T1566.002(リンク型)— ClickFixメールやBookingテーマ、偽更新ページ。
  • Initial Access: T1189(Drive-by Compromise)— マルバタイジング経由の侵入。
  • Execution: T1204(User Execution)— 「修復」「アップデート」押下に依存する実行。
  • Defense Evasion: T1036(Masquerading)— Zabbix/RVToolsの偽アップデートやBookingの偽サイト。
  • Defense Evasion/Privilege: T1055(Process Injection)— CastleLoaderがコアモジュールを注入。
  • Command and Control: T1071.001(Web Protocols)— コアがHTTPSでC2とタスク通信。Steam Communityページをデッドドロップ的に利用。
  • Command and Control/Resource: T1105(Ingress Tool Transfer)— DLL/EXE/PEの取得・実行。
  • Resource Development: T1583(Acquire Infrastructure)— 被害者向けTier 1 C2とVPSの多層構成。
  • Resource Development: T1585(Establish Accounts)— 貨物マッチングプラットフォーム上の不正/侵害済みアカウント活用。
  • Exfiltration: T1041(Exfiltration Over C2 Channel)— 下流スティーラーがHTTP(S)でデータ送信(一般的挙動)。

🏢 組織規模別助言

  • 小規模(〜50名):メール/WEBフィルタの強化とEDR導入を最優先。管理端末は標準ユーザ運用、未知実行ファイルのブロック。物流/SaaSアカウントは必ずMFA。
  • 中規模(50〜500名):WDAC/AppLockerの段階的適用、プロキシでの広告配信ドメイン制限、ClickFix想定の演習(卓上演習+実機)。SOCのハンティング用にSysmon標準化。
  • 大規模(500名〜):ブラウザ隔離(RBVM/remote isolation)の導入検討、TLS復号の選択適用、UEBAでの短命C2・異常ポーリング検出、ブランド偽装検知とテイクダウン体制。

🔎 類似事例

本件と同様にローダや偽更新・マルバタイジングを用いる事例として、Matanbuchus、NetSupport RAT、WARMCOOKIE、Hijack Loaderなどの配布キャンペーンが過去に多数確認されています。SmartScreen回避を悪用した類似攻撃でCVE-2023-36025やCVE-2024-21412、CVE-2024-38112が言及されますが、これらがGrayBravo/CastleLoaderで用いられたという確証は現時点でありません(参考情報)。

🧭 次の一手

  • ClickFix対策プレイブック作成:HTML添付検査、ユーザ通知、隔離・初動手順を明文化。
  • 検知の実効性評価:Atomic Red Team等でプロセスインジェクション/HTTPポーリングの疑似テストを実施。
  • ローダ連鎖の遮断:WDAC/AppLockerパイロットと、広告経由ダウンロードの強制ブロックを部門単位で展開。
  • プラットフォーム防御:DAT/Loadlinkなど業界特化SaaSにMFA適用とログ監査。なりすまし報告ルートの可視化。
  • 次に読むべきコンテンツ:HTML Smuggling検知のSigma/YARA、ローダ系MaaSのTTPマッピング解説、偽更新(Zabbix/RVTools)模倣サイト検出のベストプラクティス。