Olarak bilinen gelişmiş bir kötü amaçlı yazılım yükleyicisi Kale Yükleyici ABD devlet kurumları ve kritik altyapı kuruluşları için kritik bir tehdit olarak ortaya çıktı.
İlk olarak 2025’in başlarında tanımlanan bu gizli kötü amaçlı yazılım, Kuzey Amerika ve Avrupa’daki federal kurumlar, BT firmaları, lojistik şirketleri ve temel altyapı sağlayıcıları dahil olmak üzere birçok sektörü hedef alan koordineli saldırılarda ilk erişim noktası olarak kullanıldı.
Güvenlik araştırmacıları, tek bir CastleLoader kampanyasının yaklaşık 460 farklı kuruluşu etkilediğini ve özellikle ABD’deki hükümet sistemlerinden ödün vermeye odaklandığını belgeledi.
CastleLoader, ikincil yükleri doğrudan sistem belleğine ileten çok aşamalı bir yükleyici olarak çalışır ve bu da geleneksel güvenlik savunmalarının tespitini son derece zorlaştırır.
Kötü amaçlı yazılımın birincil işlevi, güvenliği ihlal edilmiş sistemler üzerinde ilk tutunma noktası oluşturmak, ardından bilgi hırsızları ve saldırganlara virüslü ağlar üzerinde tam kontrol sağlayan uzaktan erişim truva atları gibi daha tehlikeli araçları dağıtmaktır.
Yükleyicinin evrensel yapısı ve yüksek enfeksiyon oranı, onu, tespit sistemlerinden kaçarken yüksek değerli hedeflerden taviz vermeye çalışan tehdit aktörleri arasında tercih edilen bir araç haline getirdi.
Analizi görüntüle
.webp)
CastleLoader’a yönelik saldırı vektörü tipik olarak, kurbanların sahte yazılım güncelleme istemleri veya sistem doğrulama mesajları yoluyla aldatıldığı ClickFix olarak bilinen sosyal mühendislik tekniklerini içerir.
Kullanıcılar bu sahte isteklere uyduklarında farkında olmadan, CastleLoader’ı saldırı zincirinin ikinci aşaması olarak sunan kötü amaçlı komutları çalıştırıyorlar.
Bu aldatıcı yaklaşımın, kullanıcı farkındalığı eğitimini ve ilk güvenlik kontrollerini atlamada oldukça etkili olduğu kanıtlanmıştır.
Any.Run analistleri ve araştırmacıları not edildi Ayrıntılı inceleme sırasında kötü amaçlı yazılımın karmaşık mimarisi, modern güvenlik araçlarından kaçmak için özel olarak tasarlanmış, dikkatle düzenlenmiş bir yürütme zincirini tespit ediyor.
Analiz, CastleLoader’ın basit bir yürütülebilir dosya olarak çalışmadığını, bunun yerine her aşamanın ilk incelemede nispeten zararsız görünmesini sağlayan karmaşık katmanlı bir yaklaşıma dayandığını ortaya çıkardı.
.webp)
Bu yöntem, kötü amaçlı yazılımın, kötü amaçlı etkinliğini birden fazla meşru görünen sürece dağıtmasına ve göz önünde etkili bir şekilde saklanmasına olanak tanır.
%99 benzersiz IOC’lerden yararlanarak saldırıları önleyin Daha iyi proaktif savunma için TI Akışlarını entegre edin
Ayrıntılar için bize ulaşın
Enfeksiyon Zinciri ve Kaçınma Mekanizmaları
CastleLoader’ın enfeksiyon mekanizması, gizlilik ve gizlemede bir ustalık sınıfını temsil eder.
Kötü amaçlı yazılım, AutoIt3.exe ve free.a3x olarak depolanan derlenmiş bir AutoIt komut dosyası da dahil olmak üzere birden fazla bileşen içeren bir Inno Kurulum yükleyici dosyası olarak paketlenmiş olarak gelir.
.webp)
Yürütüldüğünde, AutoIt betiği bir sonraki kritik aşamayı başlatır: jsc.exe işleminin (meşru bir JScript.NET derleyicisi) CREATE_SUSPENDED bayrağıyla başlatılması, bu işlemin oluşturulduktan hemen sonra duraklatılması.
Kötü amaçlı yazılım, bu askıya alınmış durumda çalıştırmak yerine, tamamen işlevsel bir PE yürütülebilir dosyasını doğrudan jsc.exe bellek alanına enjekte eden, geliştirilmiş bir süreç boşaltma tekniği uygular.
Teknik şu sırayı takip eder: ilk olarak, PAGE_EXECUTE_READWRITE izinlerine sahip VirtualAllocEX kullanılarak hedef işlem içinde bellek tahsis edilir ve yeni tahsis edilen alandan kod yürütülmesine izin verilir.
.webp)
Daha sonra, kötü amaçlı PE görüntüsü WriteProcessMemory kullanılarak bu bellek bölgesine yazılır. Kötü amaçlı yazılım daha sonra PEB (İşlem Ortamı Bloğu) adresini çıkarır ve ImageBaseAddress alanının üzerine yazarak enjekte edilen kodun doğru bellek konumuna yüklenmesini sağlar.
Bu yaklaşım, orijinal işlem belleğini kaldırmak için genellikle NtUnmapViewOfSection’ı kullanan geleneksel işlem boşaltma tekniklerinden farklıdır.
Dynamic analysis from ANY.RUN: Boost DR by 36%, cut MTTR by 21 minutes - Contact for DemoCastleLoader bu adımı atlayarak bu şüpheli etkinlik modelini izleyen algılama mekanizmalarının tetiklenmesini önler. Son aşamalar, yürütmeyi enjekte edilen yükün giriş noktasına yönlendirmek için SetThreadContext’i ve ardından yürütmeyi başlatmak için ResumeThread’i içerir.
Tüm bu dizi, başlatma tamamlanana kadar kötü amaçlı kodu diskte şüpheli yapılar oluşturmadan bellekte sınırlı tutar.
Sonuç olarak, değişiklikten sonra yalnızca hedef sürecin bellek alanında var olan ve geleneksel statik imza tabanlı algılamayı etkisiz hale getiren, tamamen işlevsel bir kötü amaçlı yazılım modülü ortaya çıkar.
.webp)
Süreç davranışı analizine dayanan güvenlik izleme araçları, her bir bileşenin ayrı ayrı incelendiğinde meşru görünmesi nedeniyle zorluk yaşıyor.
Statik dosya imzaları, davranışsal buluşsal yöntemler ve geleneksel süreç izleme sistemlerinin bu karmaşık yürütme modelini tespit edemediğini kanıtlamak, CastleLoader’ı modern bellek tabanlı tespit yetenekleri ve uç nokta tespit ve yanıt çözümlerinden yoksun kuruluşlar için son derece tehlikeli bir tehdit haline getiriyor.
ANY.RUN çözümlerinin SOC’nize nasıl güç verebileceğini deneyimleyin: 14 Günlük Denemeyi Başlatın
