Perisian Hasad CastleLoader

Dalam landskap ancaman siber yang sentiasa berkembang, pemuat perisian hasad baharu yang digelar CastleLoader telah muncul sebagai alat penting dalam senjata penjenayah siber. Mula-mula dikesan pada awal 2025, CastleLoader telah mendapat daya tarikan dengan cepat kerana modularitinya, taktik pengelakan lanjutan dan kebolehsuaian. Penyelidik telah melihat peranannya dalam berbilang kempen yang menggunakan pencuri maklumat dan Trojan Akses Jauh (RAT), menjadikannya kebimbangan yang semakin meningkat dalam ekosistem perisian hasad sebagai perkhidmatan (MaaS).

Serbaguna dalam Tindakan: Alat Pengedaran yang Berkuasa

CastleLoader telah digunakan untuk menyampaikan pelbagai muatan berniat jahat, termasuk:

• Pencuri maklumat: DeerStealer, RedLine, StealC
• Trojan Akses Jauh (RAT): NetSupport RAT, SectopRAT

Struktur modularnya membolehkan CastleLoader berfungsi sebagai penitis awal dan pemuat peringkat kedua, membolehkan penyerang memisahkan vektor jangkitan daripada muatan. Pemisahan ini merumitkan usaha pengesanan dan tindak balas, menjadikan atribusi menjadi lebih sukar.

Kekeliruan dan Pengelakan: Kekal Satu Langkah Ke Hadapan

CastleLoader menggunakan beberapa teknik lanjutan untuk mengelakkan pengesanan dan menghalang analisis:

• Suntikan dan pembungkusan kod mati untuk mengaburkan fungsi sebenar.
• Membongkar masa jalan untuk menangguhkan pelaksanaan sehingga selepas mengelak lapisan pengimbasan awal.
• Langkah anti-kotak pasir dan pengeliruan, setanding dengan pemuat canggih seperti SmokeLoader dan IceID.

Setelah dibongkar, pemuat mencapai pelayan Command-and-Control (C2), memuat turun modul tambahan dan memulakan pelaksanaannya. Muatan biasanya dihantar sebagai boleh laku mudah alih yang dibenamkan dengan kod shell, yang melancarkan rutin teras pemuat.

Taktik dan Teknik: Penipuan pada Terasnya

Kempen yang menggunakan CastleLoader sangat bergantung pada kejuruteraan sosial, terutamanya:

Serangan Phishing Bertemakan ClickFix
Mangsa terpikat ke domain berniat jahat, menyamar sebagai platform persidangan video, kemas kini penyemak imbas, perpustakaan pembangun atau portal pengesahan dokumen, melalui hasil carian Google yang beracun. Halaman ini mengandungi mesej ralat palsu atau gesaan CAPTCHA yang mengarahkan pengguna untuk melaksanakan perintah PowerShell, tanpa disedari memulakan jangkitan. Serangan ClickFix telah menjadi teknik yang meluas digunakan oleh banyak kumpulan penggodam.

Repositori GitHub Palsu
CastleLoader juga merebak melalui repositori yang meniru alat sumber terbuka yang sah. Pembangun yang tidak curiga mungkin menjalankan skrip pemasangan yang kelihatan boleh dipercayai daripada repositori ini, tanpa disedari menjangkiti sistem mereka. Taktik ini memanfaatkan kesahihan yang dirasakan GitHub dan kepercayaan kebiasaan pembangun dalam repositori terbuka.

Strategi ini mencerminkan teknik yang biasa digunakan oleh Broker Akses Awal (IAB), mengukuhkan kedudukan CastleLoader dalam rantaian bekalan jenayah siber yang lebih luas.

Kempen Bertindih dan Meluaskan Jangkauan

Penyelidik telah mendokumenkan penggunaan silang kempen CastleLoader dan DeerStealer, dengan menyatakan bahawa beberapa varian Hijack Loader telah dihantar melalui kedua-dua alatan. Walaupun pelaku ancaman di sebalik setiap kempen mungkin berbeza, penggunaan pemuat yang bertindih menunjukkan ekosistem atau model perkhidmatan yang dikongsi dalam kalangan kumpulan penjenayah siber.

Mulai Mei 2025 dan seterusnya, CastleLoader telah diperhatikan menggunakan tujuh pelayan C2 unik, dengan 1,634 percubaan jangkitan direkodkan. Daripada jumlah ini, 469 peranti telah berjaya dikompromi, mengakibatkan kadar kejayaan jangkitan sebanyak 28.7%.

Infrastruktur di Sebalik Ancaman

Infrastruktur C2 yang menyokong CastleLoader sangat teguh. Panel berasaskan web yang berkaitan menyediakan kawalan terpusat ke atas sistem yang dijangkiti, menggemakan ciri yang terdapat dalam platform perisian hasad sebagai perkhidmatan. Ini menunjukkan operasi yang berpengalaman dan teratur di sebalik pembangunan dan penggunaan pemuat.

Pengambilan Utama: Ancaman CastleLoader yang semakin meningkat

CastleLoader bukan sahaja pemuat, ia adalah pemboleh strategik kempen perisian hasad yang lebih luas.

Reka bentuk modularnya, ciri anti-analisis dan taktik penghantaran yang pelbagai menjadikannya alat utama untuk pelaku ancaman yang mencari fleksibiliti dan senyap.

Dengan menyalahgunakan platform yang dipercayai seperti GitHub dan mengeksploitasi tingkah laku pengguna melalui kejuruteraan sosial, CastleLoader menekankan keperluan untuk meningkatkan kewaspadaan dan strategi pertahanan dalam persekitaran perusahaan dan pembangun.

Memandangkan ancaman ini terus berkembang, pembela mesti berwaspada terhadap taktik baharu dan mengukuhkan pertahanan terhadap pemuat yang beroperasi di belakang tabir untuk menggerakkan jenayah siber berskala besar.