다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 CastleLoader 맬웨어

CastleLoader 맬웨어

멀웨어년에 Mezo 년까지
번역 :

끊임없이 진화하는 사이버 위협 환경 속에서, 캐슬로더(CastleLoader)라는 새로운 악성코드 로더가 사이버 범죄자들의 주요 도구로 부상했습니다. 2025년 초 처음 발견된 캐슬로더는 모듈성, 고도화된 우회 전략, 그리고 뛰어난 적응성으로 빠르게 주목을 받고 있습니다. 연구원들은 정보 탈취 공격과 원격 액세스 트로이 목마(RAT)를 배포하는 여러 공격에서 캐슬로더가 중요한 역할을 하는 것을 관찰했으며, 이로 인해 서비스형 악성코드(MaaS) 생태계에서 캐슬로더의 위협이 커지고 있습니다.

다재다능한 활용: 강력한 배포 도구

CastleLoader는 다음을 포함한 광범위한 악성 페이로드를 전달하는 데 사용되었습니다.

  • 정보 도둑: DeerStealer, RedLine, StealC
  • 원격 액세스 트로이 목마(RAT): NetSupport RAT, SectopRAT

모듈형 구조 덕분에 CastleLoader는 초기 드로퍼와 2단계 로더 역할을 모두 수행하여 공격자가 감염 벡터와 페이로드를 분리할 수 있도록 합니다. 이러한 분리는 탐지 및 대응 작업을 복잡하게 만들고, 결과적으로 악성코드의 원인 규명을 훨씬 어렵게 만듭니다.

난독화와 회피: 한발 앞서 나가기

CastleLoader는 탐지를 피하고 분석을 방해하기 위해 여러 가지 고급 기술을 사용합니다.

  • 쓸모없는 코드를 주입하고 패킹하여 실제 기능을 흐리게 만듭니다.
  • 초기 스캐닝 계층을 회피한 후까지 실행을 지연하기 위한 런타임 압축 해제.
  • SmokeLoader 및 IceID와 같은 정교한 로더와 비슷한 샌드박싱 방지 조치 및 난독화.

압축이 해제되면 로더는 명령 및 제어(C2) 서버에 접속하여 추가 모듈을 다운로드하고 실행을 시작합니다. 페이로드는 일반적으로 셸코드가 내장된 이동식 실행 파일로 제공되며, 셸코드는 로더의 핵심 루틴을 실행합니다.

전술과 기술: 핵심에 있는 기만

CastleLoader를 사용하는 캠페인은 특히 다음과 같은 소셜 엔지니어링에 크게 의존합니다.

ClickFix 테마 피싱 공격
피해자들은 악성 Google 검색 결과를 통해 화상 회의 플랫폼, 브라우저 업데이트, 개발자 라이브러리 또는 문서 검증 포털로 위장한 악성 도메인으로 유인됩니다. 이러한 페이지에는 사용자에게 PowerShell 명령을 실행하도록 유도하는 가짜 오류 메시지나 CAPTCHA 프롬프트가 포함되어 있어 자신도 모르게 감염을 유발합니다. ClickFix 공격은 수많은 해커 그룹이 널리 사용하는 기법이 되었습니다.

가짜 GitHub 저장소
CastleLoader는 합법적인 오픈소스 도구를 모방한 저장소를 통해 확산됩니다. 의심하지 않는 개발자는 이러한 저장소에서 겉보기에 신뢰할 수 있는 설치 스크립트를 실행하여 자신도 모르게 시스템을 감염시킬 수 있습니다. 이러한 전략은 GitHub의 합법적인 인식과 개발자들이 오픈소스 저장소를 습관적으로 신뢰한다는 점을 악용합니다.

이러한 전략은 초기 접근 브로커(IAB)에서 일반적으로 사용되는 기술을 반영하며, 더 광범위한 사이버범죄 공급망 내에서 CastleLoader의 입지를 강화합니다.

중복된 캠페인과 확장된 도달 범위

연구원들은 CastleLoader와 DeerStealer가 여러 캠페인에서 동시에 사용되었음을 기록했으며, Hijack Loader의 일부 변종이 두 도구를 모두 통해 유포되었음을 확인했습니다. 각 캠페인의 배후에 있는 위협 행위자는 다를 수 있지만, 로더의 중복 사용은 사이버 범죄 조직 간에 공통된 생태계 또는 서비스 모델이 존재함을 시사합니다.

2025년 5월부터 CastleLoader는 7개의 고유한 C2 서버를 사용하는 것으로 관찰되었으며, 1,634건의 감염 시도가 기록되었습니다. 이 중 469대의 장치가 성공적으로 감염되어 감염 성공률은 28.7%였습니다.

위협 뒤에 숨은 인프라

CastleLoader를 지원하는 C2 인프라는 매우 강력합니다. 관련 웹 기반 패널은 감염된 시스템에 대한 중앙 집중식 제어 기능을 제공하며, 이는 서비스형 맬웨어(MaaS) 플랫폼에서 제공하는 기능과 유사합니다. 이는 CastleLoader의 개발 및 배포 과정에서 숙련되고 체계적인 운영이 이루어졌음을 시사합니다.

주요 내용: CastleLoader의 증가하는 위협

CastleLoader는 단순한 로더가 아니라, 더 광범위한 맬웨어 캠페인을 전략적으로 가능하게 하는 도구입니다.

모듈식 설계, 분석 방지 기능, 다양한 전달 전략 덕분에 유연성과 은밀성을 추구하는 위협 행위자에게 가장 적합한 도구입니다.

CastleLoader는 GitHub와 같은 신뢰할 수 있는 플랫폼을 악용하고 소셜 엔지니어링을 통해 사용자 행동을 악용함으로써 기업과 개발자 환경 모두에서 강화된 경계와 방어 전략의 필요성을 강조합니다.

이러한 위협이 계속해서 진화함에 따라, 방어자는 새로운 전술에 항상 주의를 기울이고 대규모 사이버 범죄를 실행하기 위해 배후에서 활동하는 로더에 대한 방어를 강화해야 합니다.


트렌드

BlackFL 랜섬웨어

랜섬웨어
데이터가 비즈니스, 커뮤니케이션, 그리고 일상 업무의 원동력이 되는 디지털 시대에 랜섬웨어의 위협은 그 어느 때보다 심각해졌습니다. 데이터를 인질로 잡도록 설계된 악성 소프트웨어는 개인과 조직 모두에게 막대한 피해를 입힐 수 있습니다. 최근 사이버 보안 전문가들이 발견한 특히 교활한 변종 중 하나는 BlackFL 랜섬웨어입니다. 데이터 암호화, 중요...

Gerolax 암호화폐 사기

불량 웹사이트
디지털 금융이 끊임없이 발전함에 따라, 이를 악용하는 사기 수법도 함께 발전하고 있습니다. 사이버 범죄자들은 소셜 엔지니어링, 딥페이크, 그리고 암호화폐의 탈중앙화 특성을 악용하여 사기 행위를 저지르는 등 수법이 점점 더 정교해지고 있습니다. 제롤락스 암호화폐 사기(Gerolax Crypto Scam)는 합법적인 암호화폐 거래 플랫폼으로 교묘하게...

Batavia Spyware

멀웨어, 스파이웨어
정교한 사이버 간첩 캠페인이 2024년 7월부터 러시아 조직을 적극적으로 표적으로 삼고 있습니다. 이 작전의 핵심에는 이전에 문서화되지 않은 바타비아라는 스파이웨어가 있는데, 이는 합법적인 계약 제안처럼 보이도록 설계된 사기성 이메일을 통해 배포됩니다. 감염 사슬: 이메일에서 간첩 활동까지 공격은 공격자가 제어하는 도메인인 oblast-ru.com에서...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
59,142
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
45,994
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
45,390
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...