
Castlebot adlı karmaşık bir yeni kötü amaçlı yazılım çerçevesi, siber suçlu (MAAS olarak kötü amaçlı yazılım (MAAS) platformu olarak çalışan siber güvenlik için önemli bir tehdit olarak ortaya çıkmıştır.
İlk olarak 2025’in başlarında görünen kötü amaçlı yazılım, dikkate değer bir uyum ve teknik sofistike göstermiştir ve etkinlik seviyeleri Mayıs 2025’te önemli ölçüde artmıştır.
Castlebot’un birincil dağıtım yöntemi, sahte web sitelerinden indirilen ve kötü amaçlı sayfaların arama motoru sonuçlarındaki meşru yazılım distribütörlerinden daha yüksek sıralamasına neden olan SEO zehirlenme tekniklerini kullanan truva atılmış yazılım yükleyicilerini içerir.
Bu yaklaşım, şüpheli olmayan kullanıcıları, sosyal mühendisliğin geleneksel teknik istismarların yerini aldığı siber suçlarda büyüyen bir eğilimi temsil ederek enfeksiyonları başlatmaya teşvik eder.
Kötü amaçlı yazılım, meşru yazılımları taklit eden GitHub depoları ve giderek daha popüler ClickFix tekniği aracılığıyla dağıtılmıştır.
Çerçevenin çok yönlülüğü, doğrudan fidye yazılımı işlemleriyle bağlantılı Netsupport ve Warmcookie Backdoors da dahil olmak üzere çeşitli yüksek etkili yükleri dağıtarak belirginleşir.
IBM analistleri, CastleBOT’u fidye yazılımı saldırılarını sağlayan daha geniş bir ekosistemin bir parçası olarak tanımladı, kötü amaçlı yazılımların kurbanları kolayca filtrelemesine, devam eden enfeksiyonları yönetmesine ve kötü amaçlı yazılımları hassasiyetle yüksek değerli hedeflere dağıtmasına izin verdiğini belirtti.
Castlebot’u özellikle endişelendiren şey, bir Stager/indirici, bir yükleyici ve çekirdek arka kapı bileşeninden oluşan üç aşamalı mimarisidir.
Bu modüler yaklaşım, operatörlere, algılama çabalarını karmaşıklaştırırken, yük dağıtımında olağanüstü esneklik sağlar.
Kötü amaçlı yazılım, belirli görevler istemek için komut ve kontrol sunucularıyla iletişim kurarak, dinamik kampanya yönetimini ve mağdur profil oluşturmaya dayalı gerçek zamanlı yük güncellemelerini mümkün kılar.
Üç aşamalı enfeksiyon zinciri
Castlebot’un teknik karmaşıklığı, hafif bir kabuk kodu Stager ile başlayan çok katmanlı enfeksiyon sürecinde yatmaktadır.
Bu ilk bileşen, kullanıcı aracısı “Go” kullanarak HTTP istekleri aracılığıyla iki yükü, numuneler arasında değişen soneklerle indirir.
.webp)
Stager, URL’lerden dosyaları aşağıdakilerden alır. http://173.44.141.89/service/download/data_3x.bin
Ve http://173.44.141.89/service/download/data_4x.bin
daha sonra “Gysdosgysdos” gibi sert kodlanmış xor dizeleri kullanılarak şifre çözülür.
Kötü amaçlı yazılım, çalışma zamanında API çözünürlüğü için DJB2 karma algoritmasını kullanır ve statik analizi daha zor hale getirir.
Başarılı yük alımı üzerine, Stager, yığın üzerinde yürütmeyi etkinleştirmek için VirtualProtect’i kullanır ve çekirdek arka kapıyı bir bağımsız değişken olarak geçerken bellekte Castlebot yükleyici bileşenini doğrudan yürütür.
CastleBot yükleyici, bölümleri NTallocateVirtualMemory aracılığıyla tahsis edilen bellek bölgeleriyle eşleştiren tam özellikli bir PE yükleyicisini temsil eder.
Özellikle, yeni LDR_DATA_TABLE_ENTRY ve LDR_DDAG_NODE yapılarını oluşturur ve bunları enjekte edilen yükleri yapmak için PEB_LDR_DATA bağlantılı listelere ekler ve işlem ortamı bloğunu izleyen EDR tespit mekanizmalarını etkili bir şekilde kullanır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın