2025’in başlarında ortaya çıkan sofistike bir kötü amaçlı yazılım yükleyicisi olan Castleloader, Mayıs 2025’ten bu yana 1.634 enfeksiyon denemesinden 469 cihazını başarıyla tehlikeye attı ve endişe verici bir% 28.7 enfeksiyon oranı elde etti.
Bu çok yönlü tehdit, öncelikle ABD hükümet kuruluşlarını meşru platformlara ve hizmetlere kullanıcı güvenini kullanan gelişmiş kimlik avı kampanyaları aracılığıyla hedeflemiştir.
Kötü amaçlı yazılım, kurbanları kötü amaçlı kod yürütmeye kandırmak için iki temel enfeksiyon vektörü kullanır.
İlk yöntem, saldırganların yazılım geliştirme kütüphaneleri, Google Meet veya tarayıcı güncelleme bildirimleri gibi güvenilir platformları taklit eden hileli alanlar oluşturduğu CloudFlare Services çevresinde temalı ClickFix kimlik avı tekniklerini kullanır.
Bu aldatıcı sayfalar, kullanıcıları Windows Run istemi aracılığıyla kötü niyetli PowerShell komutlarını kopyalamaya ve yürütmeye yönlendirerek fabrikasyon hata mesajları veya captcha istemleri görüntüler.
Polyswarm analistleri, Castleloader’ın meşru yazılım araçları olarak gizlenmiş sahte Github depolarını kullanan ikincil enfeksiyon yöntemini belirledi.
Dikkate değer bir örnek, SQL Server Management Studio (SSMS-LIB) olarak maskelenen bir depo içerir ve GitHub platformuna, komut ve kontrol sunucularına bağlantılar kuran kötü amaçlı yükleyicileri dağıtmak için GitHub platformuna doğal güvenden yararlanır.
Kötü amaçlı yazılım, STEALC, Redline, DeerStealer, Netsupport Sıçan, Sectoprat ve Hanjackloader dahil olmak üzere çeşitli ikincil tehditleri dağıtarak yük dağıtım özelliklerinde olağanüstü çok yönlülük gösterir.
Bu yükler, kimlik bilgisi hasat ve kripto para birimi cüzdan hırsızlığından sürekli sistem kontrolü için kalıcı arka kapı erişiminin kurulmasına kadar farklı kötü niyetli amaçlara hizmet eder.
Teknik mimari ve C2 altyapısı
Castleloader’ın teknik karmaşıklığı, PowerShell ve Otoit senaryolarını kullanarak çok aşamalı yürütme süreci ile belirginleşir.
İlk uzlaşmayı takiben, Autoit bileşeni kabuk kodunu doğrudan dinamik bir bağlantı kitaplığı (DLL) olarak sistem belleğine yükler ve daha sonra yedi farklı komut ve kontrol sunucusundan biriyle iletişim kurmak için Hashed DLL adlarını ve API çağrılarını çözer.
Kötü amaçlı yazılım operatörleri, benzersiz tanımlayıcılar, IP adresleri ve kapsamlı sistem bilgileri de dahil olmak üzere ayrıntılı mağdur telemetri sağlayan kapsamlı bir web tabanlı kontrol paneli aracılığıyla altyapılarını yönetir.
Bu panel, operasyonel güvenliği artırmak ve algılama mekanizmalarından kaçmak için coğrafi hedefleme yeteneklerini ve şifreli Docker kaplarını destekleyen, yük yönetimi ve hassas dağıtım kontrolü için özel modüller içermektedir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın