IBM X-Force, siber suçluların ransom eşyaları operasyonlarında ima edilen gelişmiş arka planlara kadar değişen bir yük spektrumunu dağıtmasını sağlayan, hizmet olarak kötü amaçlı yazılım (MAAS) platformu olarak çalışan yeni bir kötü amaçlı yazılım çerçevesi olan Castlebot’u ortaya çıkardı.
İlk olarak 2025’in başlarında Mayıs ayından bu yana artan aktivite ile tespit edilen Castlebot, fidye yazılımı saldırılarıyla tarihi bağları olan Netsupport ve Warmcookie gibi tehditlerin sunulmasını kolaylaştırıyor.
Bu çerçevenin esnekliği, operatörlerin kurbanları filtrelemelerine, enfeksiyonları yönetmesine ve yüksek değerli varlıkları tam olarak hedeflemelerine olanak tanır, kullanıcı adları, netbios adları, sistem mimarisi ve hacim seri numaralarından doğrusal bir kongreli jeneratör aracılığıyla hesaplanan benzersiz kurban kimlikleri.

Kötü amaçlı yazılımın temel bileşeni, HTTP üzerinden Chacta şifreli serileştirilmiş kapları kullanarak komut ve kontrol (C2) sunucuları ile iletişim kurar ve tek bir kampanyada birden fazla yükü içerebilecek görevler talep ederek geleneksel algılama yöntemlerini karmaşıklaştırır.
Hizmet Olarak Kötü Yazılım
Castlebot’un enfeksiyon zinciri, kötü niyetli sayfaların arama sonuçlarında meşru olanları aştığı SEO zehirlenmesiyle desteklenen sahte web siteleri aracılığıyla dağıtılan truva atma yazılım yükleyicileriyle başlar.
Ayrıca, geçerli yazılımı taklit eden GitHub depolarından ve kullanıcıları cezbetmek için ClickFix tekniğinden yararlandığı gözlemlenmiştir.
Üç aşamalı mimari, “gysdosgysdos” gibi xor anahtarlarını kullanarak yükleri indirip şifreleyen hafif bir kabuk kodu stager, ardından PE bölümlerini haritalayan, ithalatları çözen ve manipüle eden bir yükleyici içeriyor ve PEB_LDR_DATA yapılarını taklitli meşru modül yükleme, kaçınma (EDR) araçlarını kullanıyor.

Rapora göre, API çözünürlüğü için AP karma kullanan çekirdek arka kapı, şifreli ana bilgisayar verileri göndererek kampanya kimlikleri ve chacha anahtarları ve c2 ile kayıtlar dahil yapılandırmasını çözüyor.
Görevler, Windows 11 24H2 kontrollerini atlamak için NTManageHotpatch kancası yoluyla işlem enjeksiyonu veya iTaskservice COM arayüzünü kullanarak planlanan görevler yoluyla kalıcılık gibi başlatma yöntemlerine göre yürütülür.
Temmuz 2025’teki son güncellemeler, azaltılmış API çağrıları için MSIExec.exe aracılığıyla MSI uygulaması ve Queueuserapc kullanılarak MSI yürütme ve gelişmiş enjeksiyon dahil olmak üzere 32 bit ikili ve genişletilmiş lansman yöntemleri için WOW64 Bypass gibi geliştirmeler getirdi.
X-Force tarafından analiz edilen kampanyalar çeşitli yükleri ortaya çıkarıyor: Bir zincir, Silahlı SSMS yükleyicisi ile başlayan bir zincir, CastleBot’u Dave Loader üzerinden şifresini çözerek 170.130.165.112 numaralı telefondan C2’den dağıtarak; Bir diğeri sırayla Rhadamanthys, Remcos ve Deersteer sunar.
Netsupport Dağıtımları sahte docuSign sitelerinde Tıklama Fix’ten yararlanırken, diğerleri genellikle zip arşivleri ve DLL kenar yükleme yoluyla Sectoprat, Hackloader ve Monsterv2 içerir.
Bu Maas modelinin, özel dağıtım ile bağlı kuruluş güdümlü doğası, Endgame hedeflerine olan bağlarda görüldüğü gibi, fidye yazılımlarına tırmanma potansiyelinin altını çiziyor.
Devam eden evrim
Castlebot geliştikçe, anti-VM kontrolleri, sahte hata mesajları ve uyarlanabilir enjeksiyon tekniklerini dahil ettikçe, savunucular güncellenmiş EDR’ye öncelik vermeli, doğrulanmamış indirmelere karşı kullanıcı eğitimine, çok faktörlü kimlik doğrulamaya ve HTTPS olmayan trafiği engellemelidir.
X-Force, siber suçta dinamik, SEO zehirlenmiş başlangıç erişim vektörlerine doğru bir kaymaya işaret ederek, güvenlik önlemlerine karşı daha fazla iyileştirme öngörüyor.
Uzlaşma Göstergesi (IOCS)
Gösterge Türü | Gösterge | Bağlam |
---|---|---|
Url | http://173.44.141.89/service/ | Castlebot C2 Sunucusu |
Url | http://mhousecreative.com/service/ | Castlebot C2 Sunucusu |
SHA256 | 202F6B6631ade2C41E4762E58777CE0063A3BEABCE0C3F8564B6499A1164C1E04 | Castlebot çekirdeği |
SHA256 | 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaaa1f4a6a6753bb9fda0604cb4 | Warmcookie yükü |
IPv4 | 170.130.165.112 | Warmcookie C2 Sunucusu |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!