ZscalerのThreatLabzが発見した新型マルウェアローダー「CoffeeLoader」は、情報窃取キャンペーンの初動に投入され、従来型のエンドポイント検出・対応(EDR)を巧妙にすり抜ける。コールスタックスプーフィングやスリープ難読化、Windowsファイバーの利用といった複数の手法を組み合わせ、挙動を難読化するのが特徴である。

中でも「Armoury」と呼ばれるパッカーの存在が注目される。このコンポーネントはコードをGPU上で実行させることにより、仮想環境による分析を困難にし、自己改変型シェルコードを復号して本体マルウェアの実行へと繋げる。既にSmokeLoaderやRhadamanthysとの連携も確認されており、その汎用性と脅威レベルは高い。

CoffeeLoaderの登場は、マルウェアの実行基盤がCPUからGPUへと拡張されつつある現実を示しており、従来型のセキュリティ対策が限界を迎えている兆候といえる。

GPU実行型マルウェアの登場と「Armoury」による回避手法の実態

CoffeeLoaderに組み込まれたパッカー「Armoury」は、マルウェアコードの実行環境を従来のCPUからGPUへと移行させることで、仮想環境による挙動分析を著しく困難にしている。

Zscaler ThreatLabzの分析によれば、GPUによって復号された出力バッファには自己改変型のシェルコードが含まれ、これが最終的にCPUに引き渡されてマルウェア本体の実行が行われる。こうした実行経路は、EDRツールによるメモリ上のコード追跡をすり抜ける構造となっており、従来の検知ロジックでは捉えきれない。

このGPU活用型の構造は、仮想化された解析環境やサンドボックスによる挙動分析にとって極めて厄介な障害となる。GPUが関数の実行主体となることで、CPUベースの監視が効果を失い、実際の挙動を見逃すリスクが増す。

SmokeLoaderとCoffeeLoaderに共通して使用されている点からも、この手法が一過性の実験ではなく、汎用的に悪用されている実態が浮かび上がる。GPUの処理能力に着目したマルウェア設計が今後も広がれば、検出アルゴリズムの再設計が迫られるのは必至である。

スリープ難読化とファイバーの併用によるステルス性の強化

CoffeeLoaderが用いる複数の回避技術の中でも、スリープ難読化とWindowsファイバーの併用は、コードの露出を抑える巧妙な設計となっている。スリープ難読化とは、コードの断片が実行時のみ復号される手法で、コード全体が常にメモリ上に存在しない状態を作り出す。

Zscalerによると、この復号のトリガーにはWindowsファイバーが用いられており、通常のスレッドとは異なる軽量な実行コンテキストが任意に切り替えられる。

この技術により、CoffeeLoaderは複数の実行単位を持ちながら、それぞれが断続的かつ選択的に起動される構造をとる。これにより、セキュリティツールが特定の挙動を検出するまでの「観察時間」を意図的に引き延ばす効果が得られる。

加えて、コールスタックの偽装まで行うことで、追跡経路そのものを撹乱し、検知精度を低下させる仕組みとなっている。コードの復号、実行、無力化が極めて流動的に行われるため、メモリフォレンジックでも完全な特定は困難である。

コード実行基盤の拡張が示す攻撃者側の戦略転換

CoffeeLoaderのようなGPU活用型ローダーの登場は、マルウェア設計における明確な方向転換を示している。従来、EDRやXDRによって主戦場とされていたCPUベースの挙動監視を回避するため、攻撃者はOSが積極的に管理しないハードウェアリソースへの依存度を高めつつある。特にGPUは、計算処理を担当しながらもセキュリティ監視下にはほとんど置かれておらず、この空白領域が悪用されている。

一方で、GPUによるマルウェア実行は依然として技術的ハードルが高く、普及率や互換性に制約があるため、万能な手法とは言い難い。しかし、その先鋭性ゆえに、特定のターゲットを狙った標的型攻撃においては極めて有効と考えられる。

SmokeLoaderやRhadamanthysとの連携もその一端であり、CoffeeLoaderは広範な攻撃インフラの一部として設計されている可能性が高い。CPU以外のリソースを起点とする攻撃は今後さらに進化し、検知技術と攻撃技術の競争は一層激しさを増すだろう。

Source:TechRadar