CastleLoader 恶意软件
在网络威胁不断演变的形势下,一种名为 CastleLoader 的新型恶意软件加载器已成为网络犯罪分子武器库中的重要工具。CastleLoader 于 2025 年初首次被发现,凭借其模块化设计、先进的规避策略和适应性,迅速受到广泛关注。研究人员已在多起部署信息窃取程序和远程访问木马 (RAT) 的攻击活动中观察到了它的身影,这使得它在恶意软件即服务 (MaaS) 生态系统中日益受到关注。
目录
多功能性的实际应用:强大的分发工具
CastleLoader 已被用来传播各种恶意负载,包括:
- 信息窃取者:DeerStealer、RedLine、StealC
- 远程访问木马 (RAT):NetSupport RAT、SectopRAT
CastleLoader 的模块化结构使其既可以充当初始释放器,又可以充当第二阶段加载器,从而使攻击者能够将感染向量与有效载荷分离。这种分离使检测和响应工作变得复杂,从而显著增加了溯源的难度。
混淆与规避:保持领先一步
CastleLoader 使用多种先进技术来避免检测并阻碍分析:
- 死代码注入和打包会掩盖其真实功能。
- 运行时解包以延迟执行,直到避开初始扫描层之后。
- 反沙盒措施和混淆,可与 SmokeLoader 和 IceID 等复杂的加载器相媲美。
脱壳后,加载程序会连接到其命令与控制 (C2) 服务器,下载其他模块并启动执行。有效载荷通常以嵌入 Shellcode 的可执行文件形式传递,Shellcode 会启动加载程序的核心例程。
战术与技巧:欺骗的核心
使用 CastleLoader 的攻击活动严重依赖社会工程学,特别是:
以 ClickFix 为主题的网络钓鱼攻击
受害者通过中毒的谷歌搜索结果被引诱到伪装成视频会议平台、浏览器更新、开发者库或文档验证门户的恶意域名。这些页面包含虚假的错误信息或验证码提示,引导用户执行 PowerShell 命令,从而在用户不知情的情况下启动感染。ClickFix 攻击已成为众多黑客组织广泛采用的一种技术。
虚假的 GitHub 存储库
CastleLoader 还会通过模仿合法开源工具的仓库进行传播。不知情的开发人员可能会从这些仓库运行看似可信的安装脚本,从而在不知不觉中感染他们的系统。这种策略利用了 GitHub 的合法性以及开发人员对开放仓库的惯常信任。
这些策略反映了初始访问代理 (IAB) 常用的技术,强化了 CastleLoader 在更广泛的网络犯罪供应链中的地位。
重叠的营销活动和扩大覆盖范围
研究人员记录了 CastleLoader 和 DeerStealer 的跨活动使用情况,并指出 Hijack Loader 的一些变种是通过这两种工具传播的。虽然每个活动背后的威胁行为者可能有所不同,但加载器的重叠使用表明网络犯罪集团之间存在共享的生态系统或服务模式。
自 2025 年 5 月以来,CastleLoader 已利用 7 个独立的 C2 服务器进行攻击,共记录了 1,634 次感染尝试。其中,469 台设备被成功入侵,感染成功率为 28.7%。
威胁背后的基础设施
CastleLoader 的 C2 基础设施非常强大。其相关的 Web 面板可以集中控制受感染系统,这与恶意软件即服务平台的功能类似。这表明,该加载器的开发和部署背后有着经验丰富且组织有序的运作。
关键要点:CastleLoader 的威胁日益加剧
CastleLoader 不仅仅是一个加载器,它还是更广泛的恶意软件活动的战略推动者。
其模块化设计、反分析功能和多样化的交付策略使其成为寻求灵活性和隐身性的威胁行为者的首选工具。
通过滥用 GitHub 等可信平台并通过社会工程学利用用户行为,CastleLoader 强调了在企业和开发者环境中加强警惕和防御策略的必要性。
随着这种威胁的不断演变,防御者必须对新策略保持警惕,并加强对幕后操纵、为大规模网络犯罪提供动力的加载程序的防御。
