CastleLoader Kötü Amaçlı Yazılım

Sürekli gelişen siber tehdit ortamında, CastleLoader adlı yeni bir kötü amaçlı yazılım yükleyici, siber suçluların cephaneliğinde önemli bir araç olarak ortaya çıktı. İlk olarak 2025 başlarında tespit edilen CastleLoader, modülerliği, gelişmiş kaçınma taktikleri ve uyarlanabilirliği sayesinde hızla popülerlik kazandı. Araştırmacılar, bilgi hırsızları ve Uzaktan Erişim Truva Atları (RAT) kullanan birden fazla saldırıdaki rolünü gözlemleyerek, kötü amaçlı yazılım hizmeti (MaaS) ekosisteminde giderek artan bir endişe kaynağı haline geldi.

Eylemde Çok Yönlülük: Güçlü Bir Dağıtım Aracı

CastleLoader, aşağıdakiler de dahil olmak üzere çok çeşitli kötü amaçlı yükleri dağıtmak için kullanılmıştır:

• Bilgi hırsızları: DeerStealer, RedLine, StealC
• Uzaktan Erişim Truva Atları (RAT'ler): NetSupport RAT, SectopRAT

Modüler yapısı, CastleLoader'ın hem ilk yükleyici hem de ikinci aşama yükleyici olarak hizmet vermesini sağlayarak, saldırganların enfeksiyon vektörünü yükten ayırmasına olanak tanır. Bu ayrım, tespit ve müdahale çabalarını karmaşıklaştırarak, atıf yapmayı önemli ölçüde zorlaştırır.

Bulanıklaştırma ve Kaçınma: Bir Adım Önde Kalmak

CastleLoader, tespiti önlemek ve analizi engellemek için çeşitli gelişmiş teknikler kullanır:

• Gerçek işlevselliğini gizlemek için ölü kod enjeksiyonu ve paketlemesi.
• İlk tarama katmanlarından kaçınana kadar yürütmeyi geciktirmek için çalışma zamanında paketten çıkarma.
• SmokeLoader ve IceID gibi gelişmiş yükleyicilere benzer şekilde, anti-sandbox önlemleri ve karartma.

Paket açıldıktan sonra, yükleyici Komuta ve Kontrol (C2) sunucusuna ulaşır, ek modülleri indirir ve bunların yürütülmesini başlatır. Yükler genellikle, yükleyicinin temel rutinlerini başlatan kabuk koduyla gömülü taşınabilir yürütülebilir dosyalar olarak sunulur.

Taktikler ve Teknikler: Temelinde Aldatma

CastleLoader kullanan kampanyalar, özellikle sosyal mühendisliğe yoğun bir şekilde dayanmaktadır:

ClickFix Temalı Kimlik Avı Saldırıları
Kurbanlar, zehirli Google arama sonuçları aracılığıyla görüntülü konferans platformları, tarayıcı güncellemeleri, geliştirici kütüphaneleri veya belge doğrulama portalları gibi görünen kötü amaçlı alan adlarına yönlendiriliyor. Bu sayfalar, kullanıcılara PowerShell komutlarını çalıştırmalarını ve farkında olmadan enfeksiyonu başlatmalarını söyleyen sahte hata mesajları veya CAPTCHA istemleri içeriyor. ClickFix saldırıları, çok sayıda bilgisayar korsanı grubu tarafından benimsenen yaygın bir teknik haline geldi.

Sahte GitHub Depoları
CastleLoader, meşru açık kaynaklı araçları taklit eden depolar aracılığıyla da yayılır. Şüphelenmeyen geliştiriciler, bu depolardan görünüşte güvenilir kurulum betikleri çalıştırarak farkında olmadan sistemlerini enfekte edebilirler. Bu taktik, GitHub'ın algılanan meşruiyetinden ve geliştiricilerin açık kaynaklı depolara olan alışılmış güveninden yararlanır.

Bu stratejiler, İlk Erişim Brokerleri (IAB'ler) tarafından yaygın olarak kullanılan teknikleri yansıtıyor ve CastleLoader'ın daha geniş bir siber suçlu tedarik zinciri içindeki konumunu güçlendiriyor.

Çakışan Kampanyalar ve Genişleyen Erişim

Araştırmacılar, CastleLoader ve DeerStealer'ın kampanyalar arası kullanımını belgelemiş ve Hijack Loader'ın bazı varyantlarının her iki araç aracılığıyla da sunulduğunu belirtmişlerdir. Her kampanyanın arkasındaki tehdit aktörleri farklı olsa da, yükleyicilerin örtüşen kullanımı, siber suçlu grupları arasında ortak bir ekosistem veya hizmet modeline işaret etmektedir.

Mayıs 2025'ten itibaren CastleLoader'ın yedi farklı C2 sunucusu kullandığı ve 1.634 enfeksiyon girişiminin kaydedildiği gözlemlendi. Bu girişimlerden 469'u başarıyla ele geçirilerek %28,7'lik bir enfeksiyon başarı oranına ulaşıldı.

Tehdidin Arkasındaki Altyapı

CastleLoader'ı destekleyen C2 altyapısı oldukça sağlamdır. İlgili web tabanlı paneli, kötü amaçlı yazılım hizmeti platformlarında bulunan özellikleri yansıtan, virüslü sistemler üzerinde merkezi kontrol sağlar. Bu, yükleyicinin geliştirilmesi ve dağıtımının arkasında deneyimli ve organize bir operasyon olduğunu gösterir.

Önemli Noktalar: CastleLoader’ın Artan Tehdidi

CastleLoader sadece bir yükleyici değil, daha geniş kapsamlı kötü amaçlı yazılım kampanyalarının stratejik bir kolaylaştırıcısıdır.

Modüler tasarımı, anti-analiz özellikleri ve çeşitli dağıtım taktikleri, esneklik ve gizlilik arayan tehdit aktörleri için onu birincil araç haline getiriyor.

CastleLoader, GitHub gibi güvenilir platformları kötüye kullanarak ve sosyal mühendislik yoluyla kullanıcı davranışlarını istismar ederek, hem kurumsal hem de geliştirici ortamlarında gelişmiş teyakkuz ve savunma stratejilerine olan ihtiyacı vurguluyor.

Bu tehdit gelişmeye devam ettikçe, savunmacılar yeni taktiklere karşı tetikte olmalı ve büyük ölçekli siber suçları desteklemek için perde arkasında faaliyet gösteren yükleyicilere karşı savunmalarını güçlendirmelidir.