CoffeeLoader：GPUを悪用する新型マルウェア、ASUSソフトウェアを偽装しセキュリティ対策を回避

2025年4月1日7:26

サイバーセキュリティニュース

CoffeeLoader：GPUを悪用する新型マルウェア、ASUSソフトウェアを偽装しセキュリティ対策を回避 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-01 07:37 by admin

Zscaler ThreatLabzの研究者らは、2024年9月頃から活動している新たなマルウェアローダー「CoffeeLoader」を発見した。このマルウェアは、エンドポイントセキュリティ製品の検出を回避するための複数の高度な技術を実装している。

主な特徴と回避技術

GPU基盤のパッカー：「Armoury」と呼ばれるパッカーを使用し、システムのGPU上でコードを実行する。
コールスタックスプーフィング：関数呼び出しの起源を隠蔽する。
スリープ難読化：非アクティブ時にメモリ内のコードとデータを暗号化する。
Windowsファイバー：軽量なユーザーモードマルチタスキングメカニズムを利用。
ドメイン生成アルゴリズム（DGA）：バックアップ通信チャネルを確保する。

感染と持続性

CoffeeLoaderは、台湾のコンピューターハードウェア企業ASUSの正規ユーティリティ「Armoury Crate」を偽装している。マルウェアはWindows タスクスケジューラーを通じて持続性を確立し、管理者権限で実行されている場合はユーザーログオン時に、そうでない場合は10分ごとに実行される。

主な用途と関連性

現在、CoffeeLoaderは主にRhadamanthysインフォスティーラーのシェルコードを配信するために使用されている。また、以前から知られているマルウェア「SmokeLoader」との関連性が指摘されており、多くの共通点が確認されている。

Zscaler ThreatLabzの脅威インテリジェンス上級ディレクター、ブレット・ストーン-グロス氏は、CoffeeLoaderを「回避能力の面で最も洗練されたマルウェアローダーの一つ」と評している。

from:CoffeeLoader Malware Is Stacked With Viscous Evasion Tricks

【編集部解説】

CoffeeLoaderの出現は、サイバー攻撃の手法が急速に進化していることを示す重要な事例です。特に注目すべきは、GPUを利用した実行環境です。これまでのセキュリティ対策の多くがCPU上の活動を中心に監視していたため、GPUを利用するこの新しいアプローチは、多くのセキュリティソリューションにとって盲点となる可能性があります。

「GPU上でマルウェアを実行するという手法は、セキュリティ業界に新たな課題を突きつけています。これは、犯罪者が従来の監視カメラの死角を利用するようなものです」と専門家は指摘しています。

CoffeeLoaderの高度な回避技術は、サイバーセキュリティの世界で続く「いたちごっこ」の最新の一例と言えるでしょう。攻撃者は常に新しい手法を開発し、防御側はそれに対応するセキュリティ対策を講じる必要があります。

特に企業のIT管理者やセキュリティ担当者にとって、この新たな脅威は大きな課題となります。従来のCPU中心のセキュリティ対策だけでなく、GPUを含めたシステム全体を監視する包括的なアプローチが求められるようになっています。AIや機械学習の普及によりGPUの重要性が高まる中、こうした新たな攻撃ベクトルへの対応は急務となっているのです。

個人ユーザーにとっても、この事例は基本的なセキュリティ対策の重要性を再認識させるものです。信頼できる公式サイトからのみソフトウェアをダウンロードする、不審なリンクをクリックしない、セキュリティソフトウェアを最新の状態に保つといった基本的な対策が、これまで以上に重要となっています。

CoffeeLoaderの出現は、サイバーセキュリティの進化が止まることなく続いていることを示す重要な事例です。テクノロジーの発展とともに、私たちのデジタルセキュリティを守るための取り組みも、さらに洗練されていく必要があるでしょう。

【用語解説】

マルウェアローダー：
悪意のあるソフトウェア（マルウェア）を被害者のコンピュータに読み込むための特殊なプログラム。CoffeeLoaderはこの一種で、他のマルウェアを配信する役割を担う。

EDR（Endpoint Detection and Response）：
エンドポイント（PCやサーバーなど）での脅威検知と対応を行うセキュリティソリューション。通常のウイルス対策ソフトより高度な監視・分析機能を持つ。

コールスタックスプーフィング：
プログラムが実行する関数呼び出しの履歴（コールスタック）を偽装する技術。セキュリティソフトが不審な関数呼び出しパターンを検出するのを防ぐ。これは、犯罪者が指紋を消すようなものだ。

ドメイン生成アルゴリズム（DGA）：
ランダムなドメイン名を大量に生成するアルゴリズム。マルウェアがブロックされても新しい通信先を確保できるようにする。

Armoury Crate：ASUSが提供するハードウェア管理ユーティリティ。CoffeeLoaderはこの正規ソフトウェアを偽装している。

【参考リンク】

Zscaler ThreatLabz（外部）
サイバーセキュリティ企業Zscalerの脅威研究チーム。CoffeeLoaderを発見・分析した組織。

ASUS Armoury Crate（外部）
ASUSのゲーミングデバイス管理ソフトウェア。RGB照明、パフォーマンス設定などを一元管理できる。

PCrisk（外部）
マルウェア情報や除去ガイドを提供するセキュリティポータルサイト。CoffeeLoaderに関する詳細情報を公開している。

【参考動画】

【編集部後記】

皆さんのPCやデバイスは適切に保護されていますか？CoffeeLoaderのようなGPUを悪用する高度なマルウェアの出現は、セキュリティ対策の考え方を変える転機かもしれません。信頼できるソースからのソフトウェア導入、定期的なアップデート、不審なメールの注意深い取り扱いなど、基本的な対策の重要性が改めて浮き彫りになっています。皆さんはどのようなセキュリティ対策を実践していますか？ぜひSNSで共有してください。