มัลแวร์ CastleLoader
ท่ามกลางภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา มัลแวร์โหลดเดอร์ตัวใหม่ที่ชื่อว่า CastleLoader ได้กลายมาเป็นเครื่องมือสำคัญที่เหล่าอาชญากรไซเบอร์ต้องเผชิญ CastleLoader ถูกตรวจพบครั้งแรกในช่วงต้นปี 2568 และได้รับความนิยมอย่างรวดเร็วเนื่องจากความสามารถในการแยกส่วน กลยุทธ์การหลบเลี่ยงขั้นสูง และความสามารถในการปรับตัว นักวิจัยได้สังเกตเห็นบทบาทของมันในแคมเปญต่างๆ ที่ใช้โปรแกรมขโมยข้อมูลและโทรจันการเข้าถึงระยะไกล (RAT) ทำให้กลายเป็นข้อกังวลที่เพิ่มมากขึ้นในระบบนิเวศมัลแวร์แบบบริการ (MaaS)
สารบัญ
ความคล่องตัวในการใช้งาน: เครื่องมือการจัดจำหน่ายอันทรงพลัง
CastleLoader ถูกใช้เพื่อส่งมอบเพย์โหลดที่เป็นอันตรายหลากหลายประเภท รวมถึง:
- ตัวขโมยข้อมูล: DeerStealer, RedLine, StealC
- โทรจันการเข้าถึงระยะไกล (RATs): NetSupport RAT, SectopRAT
โครงสร้างแบบโมดูลาร์ช่วยให้ CastleLoader สามารถทำหน้าที่เป็นทั้งดรอปเปอร์เริ่มต้นและตัวโหลดขั้นที่สอง ช่วยให้ผู้โจมตีสามารถแยกเวกเตอร์การติดเชื้อออกจากเพย์โหลดได้ การแยกส่วนนี้ทำให้การตรวจจับและการตอบสนองมีความซับซ้อนมากขึ้น ทำให้การระบุแหล่งที่มาทำได้ยากขึ้นอย่างมาก
การบดบังและการหลีกเลี่ยง: ก้าวไปข้างหน้าหนึ่งก้าว
CastleLoader ใช้เทคนิคขั้นสูงหลายประการเพื่อหลีกเลี่ยงการตรวจจับและขัดขวางการวิเคราะห์:
- การแทรกโค้ดที่ตายแล้วและการแพ็คเพื่อบดบังฟังก์ชันการทำงานที่แท้จริง
- การแกะแพ็คเกจแบบรันไทม์เพื่อหน่วงเวลาการดำเนินการจนกว่าจะหลีกเลี่ยงเลเยอร์การสแกนเบื้องต้น
- มาตรการต่อต้านแซนด์บ็อกซ์และการบดบังข้อมูล เทียบได้กับโปรแกรมโหลดที่ซับซ้อน เช่น SmokeLoader และ IceID
เมื่อแกะแพ็กแล้ว ตัวโหลดจะเข้าถึงเซิร์ฟเวอร์ Command-and-Control (C2) ดาวน์โหลดโมดูลเพิ่มเติม และเริ่มต้นการดำเนินการ โดยทั่วไปแล้ว เพย์โหลดจะถูกส่งเป็นไฟล์ปฏิบัติการแบบพกพาที่ฝังด้วยเชลล์โค้ด ซึ่งจะเรียกใช้งานรูทีนหลักของตัวโหลด
กลยุทธ์และเทคนิค: การหลอกลวงที่เป็นแก่นแท้
แคมเปญที่ใช้ CastleLoader อาศัยการจัดการทางสังคมเป็นอย่างมาก โดยเฉพาะ:
การโจมตีแบบฟิชชิ่งที่มีธีม ClickFix
เหยื่อถูกล่อลวงไปยังโดเมนอันตราย ปลอมตัวเป็นแพลตฟอร์มการประชุมทางวิดีโอ การอัปเดตเบราว์เซอร์ ไลบรารีสำหรับนักพัฒนา หรือพอร์ทัลยืนยันเอกสาร ผ่านผลการค้นหาของ Google ที่ถูกโจมตี หน้าเว็บเหล่านี้มีข้อความแสดงข้อผิดพลาดปลอมหรือข้อความแจ้งเตือน CAPTCHA ที่สั่งให้ผู้ใช้รันคำสั่ง PowerShell ซึ่งเป็นการเริ่มการติดไวรัสโดยไม่รู้ตัว การโจมตี ClickFix กลาย เป็นเทคนิคที่แพร่หลายซึ่งกลุ่มแฮกเกอร์จำนวนมากนำไปใช้
คลังข้อมูล GitHub ปลอม
CastleLoader ยังแพร่กระจายผ่านคลังข้อมูลที่เลียนแบบเครื่องมือโอเพนซอร์สที่ถูกต้องตามกฎหมาย นักพัฒนาที่ไม่ทันระวังอาจรันสคริปต์ติดตั้งที่ดูเหมือนน่าเชื่อถือจากคลังข้อมูลเหล่านี้ ซึ่งทำให้ระบบของพวกเขาติดไวรัสโดยไม่รู้ตัว กลยุทธ์นี้ใช้ประโยชน์จากความน่าเชื่อถือของ GitHub และความไว้วางใจที่นักพัฒนามีต่อคลังข้อมูลแบบเปิด
กลยุทธ์เหล่านี้สะท้อนให้เห็นเทคนิคที่ใช้โดยทั่วไปโดย Initial Access Brokers (IABs) ซึ่งช่วยเสริมสร้างตำแหน่งของ CastleLoader ภายในห่วงโซ่อุปทานของอาชญากรทางไซเบอร์ที่กว้างขึ้น
แคมเปญที่ทับซ้อนกันและการขยายการเข้าถึง
นักวิจัยได้บันทึกการใช้งาน CastleLoader และ DeerStealer ข้ามแคมเปญ โดยพบว่า Hijack Loader บางเวอร์ชันถูกส่งผ่านเครื่องมือทั้งสอง แม้ว่าผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแต่ละแคมเปญอาจแตกต่างกัน แต่การใช้งาน Loader ที่ทับซ้อนกันบ่งชี้ถึงระบบนิเวศหรือรูปแบบบริการที่ใช้ร่วมกันระหว่างกลุ่มอาชญากรไซเบอร์
ตั้งแต่เดือนพฤษภาคม 2568 เป็นต้นมา พบว่า CastleLoader ใช้เซิร์ฟเวอร์ C2 ที่ไม่ซ้ำกัน 7 เครื่อง และมีความพยายามโจมตี 1,634 ครั้ง ในจำนวนนี้ มีอุปกรณ์ 469 เครื่องที่ถูกโจมตีสำเร็จ ส่งผลให้อัตราความสำเร็จในการโจมตีอยู่ที่ 28.7%
โครงสร้างพื้นฐานที่อยู่เบื้องหลังภัยคุกคาม
โครงสร้างพื้นฐาน C2 ที่รองรับ CastleLoader มีความแข็งแกร่งโดดเด่น แผงควบคุมบนเว็บที่เกี่ยวข้องช่วยให้สามารถควบคุมระบบที่ติดไวรัสได้จากศูนย์กลาง ซึ่งสะท้อนถึงฟีเจอร์ที่พบในแพลตฟอร์มมัลแวร์แบบบริการ (malware-as-a-service) สิ่งนี้ชี้ให้เห็นถึงการดำเนินงานที่มีประสบการณ์และเป็นระบบเบื้องหลังการพัฒนาและการใช้งานตัวโหลด
ประเด็นสำคัญ: ภัยคุกคามที่เพิ่มขึ้นของ CastleLoader
CastleLoader ไม่ใช่แค่โปรแกรมโหลดเท่านั้น แต่ยังเป็นตัวช่วยเชิงกลยุทธ์ในการรณรงค์มัลแวร์ในวงกว้างอีกด้วย
การออกแบบแบบโมดูลาร์ คุณสมบัติป้องกันการวิเคราะห์ และกลยุทธ์การส่งมอบที่หลากหลายทำให้เป็นเครื่องมือหลักสำหรับผู้ก่อภัยคุกคามที่แสวงหาความยืดหยุ่นและการแอบแฝง
CastleLoader เน้นย้ำถึงความจำเป็นในการเฝ้าระวังที่เพิ่มมากขึ้นและกลยุทธ์การป้องกันทั้งในสภาพแวดล้อมขององค์กรและนักพัฒนา โดยใช้ประโยชน์จากแพลตฟอร์มที่เชื่อถือได้ เช่น GitHub ในทางที่ผิดและแสวงประโยชน์จากพฤติกรรมของผู้ใช้ผ่านทางการจัดการทางสังคม
เนื่องจากภัยคุกคามนี้ยังคงพัฒนาอย่างต่อเนื่อง ผู้ป้องกันต้องคอยตื่นตัวต่อกลยุทธ์ใหม่ๆ และเสริมความแข็งแกร่งให้กับการป้องกันต่อตัวโหลดที่ทำงานเบื้องหลังเพื่อขับเคลื่อนอาชญากรรมทางไซเบอร์ขนาดใหญ่
