„CastleLoader“ kenkėjiška programa
Nuolat besikeičiančioje kibernetinių grėsmių aplinkoje naujas kenkėjiškų programų įkroviklis, pavadintas „CastleLoader“, tapo reikšmingu įrankiu kibernetinių nusikaltėlių arsenale. Pirmą kartą aptiktas 2025 m. pradžioje, „CastleLoader“ greitai išpopuliarėjo dėl savo moduliškumo, pažangios apėjimo taktikos ir pritaikomumo. Tyrėjai pastebėjo jo vaidmenį įvairiose kampanijose, kuriose naudojami informacijos vagystės ir nuotolinės prieigos Trojos arkliai (RAT), todėl jis kelia vis didesnį susirūpinimą kenkėjiškų programų kaip paslaugos (MaaS) ekosistemoje.
Turinys
Universalumas veiksme: galingas platinimo įrankis
„CastleLoader“ buvo naudojamas įvairiems kenkėjiškiems paketams pristatyti, įskaitant:
- Informacijos vagys: „DeerStealer“, „RedLine“, „StealC“
- Nuotolinės prieigos Trojos arkliai (RAT): „NetSupport RAT“, „SectopRAT“
Dėl modulinės struktūros „CastleLoader“ gali būti ir pradinio įkėlimo, ir antrojo etapo įkėlimo programa, todėl užpuolikai gali atsieti infekcijos vektorių nuo naudingosios apkrovos. Šis atskyrimas apsunkina aptikimo ir reagavimo pastangas, todėl priskyrimą padaryti žymiai sunkiau.
Miglos užtemimas ir vengimas: kaip išlikti vienu žingsniu priekyje
„CastleLoader“ naudoja keletą pažangių metodų, kad išvengtų aptikimo ir trukdytų analizei:
- Negyvo kodo injekcija ir pakavimas, siekiant paslėpti tikrąjį jo funkcionalumą.
- Išpakavimas vykdymo metu, siekiant atidėti vykdymą, kol bus apeiti pradiniai nuskaitymo sluoksniai.
- Apsaugos nuo smėlio dėžės ir klaidinimo priemonės, panašios į sudėtingus krautuvus, tokius kaip „SmokeLoader“ ir „IceID“.
Išpakavus, įkrovos programa susisiekia su savo komandų ir valdymo (C2) serveriu, atsisiunčia papildomus modulius ir inicijuoja jų vykdymą. Naudingieji duomenys paprastai pateikiami kaip nešiojami vykdomieji failai, įterpti su apvalkalo kodu, kuris paleidžia pagrindines įkrovos programos procedūras.
Taktika ir metodai: apgaulės esmė
Kampanijos, kuriose naudojama „CastleLoader“, labai priklauso nuo socialinės inžinerijos, ypač:
„ClickFix“ tematikos sukčiavimo atakos
Aukos viliojamos į kenkėjiškus domenus, maskuojamus kaip vaizdo konferencijų platformos, naršyklės naujiniai, kūrėjų bibliotekos arba dokumentų tikrinimo portalai, per užterštus „Google“ paieškos rezultatus. Šiuose puslapiuose yra netikrų klaidų pranešimų arba CAPTCHA raginimų, kurie nurodo vartotojams vykdyti „PowerShell“ komandas, netyčia inicijuojant užkrėtimą. „ClickFix“ atakos tapo plačiai paplitusia technika, kurią naudoja daugybė įsilaužėlių grupių.
Netikros „GitHub“ saugyklos
„CastleLoader“ taip pat plinta per saugyklas, kurios imituoja teisėtus atvirojo kodo įrankius. Nieko neįtariantys kūrėjai gali paleisti, regis, patikimus diegimo scenarijus iš šių saugyklų, netyčia užkrėsdami savo sistemas. Ši taktika pasinaudoja tariamu „GitHub“ teisėtumu ir kūrėjų įprastu pasitikėjimu atviromis saugyklomis.
Šios strategijos atspindi pradinės prieigos brokerių (IAB) dažniausiai naudojamus metodus, sustiprindamos „CastleLoader“ pozicijas platesnėje kibernetinių nusikaltimų tiekimo grandinėje.
Persidengiančios kampanijos ir platesnis pasiekiamumas
Tyrėjai dokumentavo „CastleLoader“ ir „DeerStealer“ naudojimą skirtingose kampanijose, atkreipdami dėmesį, kad kai kurie „Hijack Loader“ variantai buvo platinami naudojant abu įrankius. Nors kiekvienos kampanijos grėsmių veikėjai gali skirtis, sutampantis įkroviklių naudojimas rodo bendrą ekosistemą arba paslaugų modelį tarp kibernetinių nusikaltėlių grupuočių.
Nuo 2025 m. gegužės mėn. pastebėta, kad „CastleLoader“ naudoja septynis unikalius C2 serverius, užfiksuoti 1634 užkrėtimo bandymai. Iš jų 469 įrenginiai buvo sėkmingai užkrėsti, todėl užkrėtimo sėkmės rodiklis siekė 28,7 %.
Už grėsmės slypinti infrastruktūra
„CastleLoader“ palaikanti C2 infrastruktūra yra itin tvirta. Su ja susijusi žiniatinklio valdymo panelė užtikrina centralizuotą užkrėstų sistemų valdymą, atkartojanti funkcijas, randamas kenkėjiškų programų kaip paslaugos platformose. Tai rodo, kad įkėlimo programos kūrimo ir diegimo srityje dirba patyrę ir organizuoti specialistai.
Svarbiausios išvados: auganti „CastleLoader“ grėsmė
„CastleLoader“ yra ne tik įkrovos programa, bet ir strateginė platesnių kenkėjiškų programų kampanijų įgalinimo priemonė.
Modulinis dizainas, antianalizės funkcijos ir įvairi pristatymo taktika daro jį puikiu įrankiu grėsmių veikėjams, ieškantiems lankstumo ir nepastebimo veikimo.
Piktnaudžiaudama patikimomis platformomis, tokiomis kaip „GitHub“, ir išnaudodama vartotojų elgesį socialinės inžinerijos būdu, „CastleLoader“ pabrėžia didesnio budrumo ir gynybos strategijų poreikį tiek įmonių, tiek kūrėjų aplinkoje.
Šiai grėsmei toliau kintant, gynėjai turi būti budrūs dėl naujų taktikų ir stiprinti gynybą nuo slaptų krautuvų, kurie skatina didelio masto kibernetinius nusikaltimus.
