CastleLoader 惡意軟體
在網路威脅不斷演變的情況下,一種名為 CastleLoader 的新型惡意軟體載入器已成為網路犯罪分子武器庫中的重要工具。 CastleLoader 於 2025 年初首次被發現,憑藉其模組化設計、先進的規避策略和適應性,迅速受到廣泛關注。研究人員已在多起部署資訊竊取程式和遠端存取木馬 (RAT) 的攻擊活動中觀察到了它的身影,這使得它在惡意軟體即服務 (MaaS) 生態系統中日益受到關注。
目錄
多功能性的實際應用:強大的發行工具
CastleLoader 已被用來傳播各種惡意負載,包括:
- 資訊竊取者:DeerStealer、RedLine、StealC
- 遠端存取木馬 (RAT):NetSupport RAT、SectopRAT
CastleLoader 的模組化結構使其既可以充當初始釋放器,又可以充當第二階段加載器,從而使攻擊者能夠將感染向量與有效載荷分離。這種分離使檢測和響應工作變得複雜,從而顯著增加了溯源的難度。
混淆與規避:保持領先一步
CastleLoader 使用多種先進技術來避免檢測並阻礙分析:
- 死程式碼注入和打包會掩蓋其真實功能。
- 執行時解包以延遲執行,直到避開初始掃描層之後。
- 反沙盒措施和混淆,可與 SmokeLoader 和 IceID 等複雜的加載器相媲美。
脫殼後,載入程式會連接到其命令與控制 (C2) 伺服器,下載其他模組並啟動執行。有效載荷通常以嵌入 Shellcode 的可執行檔形式傳遞,Shellcode 會啟動載入程式的核心例程。
戰術與技巧:欺騙的核心
使用 CastleLoader 的攻擊活動嚴重依賴社會工程學,特別是:
以 ClickFix 為主題的網路釣魚攻擊
受害者透過被感染的Google搜尋結果被引誘到偽裝成視訊會議平台、瀏覽器更新、開發者庫或文件驗證入口網站的惡意網域。這些頁麵包含虛假的錯誤訊息或驗證碼提示,引導使用者執行 PowerShell 命令,從而在使用者不知情的情況下啟動感染。 ClickFix 攻擊已成為許多駭客組織廣泛採用的技術。
虛假的 GitHub 儲存庫
CastleLoader 也會透過模仿合法開源工具的倉庫來傳播。不知情的開發人員可能會從這些倉庫運行看似可信賴的安裝腳本,從而在不知不覺中感染他們的系統。這種策略利用了 GitHub 的合法性以及開發人員對開放倉庫的慣常信任。
這些策略反映了初始存取代理程式 (IAB) 常用的技術,強化了 CastleLoader 在更廣泛的網路犯罪供應鏈中的地位。
重疊的營銷活動和擴大覆蓋範圍
研究人員記錄了 CastleLoader 和 DeerStealer 的跨活動使用情況,並指出 Hijack Loader 的一些變種是透過這兩種工具傳播的。雖然每個活動背後的威脅行為者可能有所不同,但加載器的重疊使用表明網路犯罪集團之間存在共享的生態系統或服務模式。
自 2025 年 5 月以來,CastleLoader 已利用 7 個獨立的 C2 伺服器進行攻擊,共記錄了 1,634 次感染嘗試。其中,469 台設備被成功入侵,感染成功率為 28.7%。
威脅背後的基礎設施
CastleLoader 的 C2 基礎設施非常強大。其相關的 Web 面板可以集中控制受感染系統,這與惡意軟體即服務平台的功能類似。這表明,該載入器的開發和部署背後有著經驗豐富且組織有序的運作。
重點:CastleLoader 的威脅日益加劇
CastleLoader 不僅僅是一個載入器,它還是更廣泛的惡意軟體活動的策略推動者。
其模組化設計、反分析功能和多樣化的交付策略使其成為尋求靈活性和隱身性的威脅行為者的首選工具。
透過濫用 GitHub 等可信賴平台並透過社會工程學利用使用者行為,CastleLoader 強調了在企業和開發者環境中加強警惕和防禦策略的必要性。
隨著這種威脅的不斷發展,防禦者必須對新策略保持警惕,並加強對幕後操縱、為大規模網路犯罪提供動力的載入程序的防禦。
