Sofistike bir kötü amaçlı yazılım yükleyicisi olan Castleloader, 2025’in başlarında ilk çıkışından bu yana 400’den fazla cihazdan ödün verdi ve siber güvenlik firması PRODAFT, Mayıs 2025’e kadar 1.634 denemeden 469 enfeksiyonu bildirdi ve şaşırtıcı bir% 28,7 başarı oranı elde etti.
Bu modüler tehdit oyuncusu, bilgi samançıları ve uzaktan erişim truva atları (sıçanlar) gibi ikincil yüklerin bir cephaneliğini dağıtmak için Cloudflare temalı ClickFix yemleri ve aldatıcı GitHub depoları da dahil olmak üzere gelişmiş kimlik avı tekniklerinden yararlanır.
Tehdit ABD hükümet kuruluşlarını hedefliyor
Özellikle, ABD hükümet kuruluşları ana hedefler olarak ortaya çıkmış ve kötü amaçlı yazılımların kritik altyapı sektörlerindeki yaygın aksaklık potansiyelinin altını çizmektedir.
Rapora göre, Polyswarm’daki analistler Castleloader’ı ortaya çıkan yüksek etkili bir tehdit olarak işaretledi ve geleneksel güvenlik önlemlerini atlamak için güvenilir platformlardan ve insan güvenlik açıklarını kullanma yeteneğini vurguladılar.
Castleloader’ın saldırı zinciri, meşru hizmetleri taklit eden kimlik avı kampanyalarıyla başlar, kurbanlara genellikle sahte hata mesajları veya bulutflare, Google Meet veya tarayıcı güncelleme bildirimlerini taklit eden alanlarda captcha zorlukları sunar.
Bu cazibeler, kullanıcıları Windows Run iletişim kutusu aracılığıyla kötü amaçlı PowerShell komutlarını kopyalamaya ve yürütmeye, e-posta ağ geçitlerini etkili bir şekilde kaldırmaya ve ilk uzlaşma için kullanıcı tarafından başlatılan işlemlere güvenmeye zorlar.
Paralel olarak, kötü amaçlı yazılım, SQL Server Management Studio Kütüphaneleri (SSMS-LIB) gibi maskelenenler gibi sahte GitHub depoları aracılığıyla lekeli yükleyicileri dağıtarak geliştiricilerin açık kaynaklı ekosistemlere olan güvenini kullanır.
Yürütüldükten sonra, bu yükleyiciler komut ve kontrol (C2) sunucularına bağlantılar kurar ve saldırganın hedeflerine göre uyarlanmış yüklerin dinamik dağıtımını sağlar.
Yük dağıtım
Özünde, Castleloader, kalıcılık ve kaçakçılığa ulaşmak için bir PowerShell senaryoları ve otomatik olarak derlenen yürütülebilir ürünler karışımı kullanır.
Etkinleştirme üzerine, Autoit bileşeni kabuk kodunu, operasyonlarını gizlemek ve yedi sertleştirilmiş C2 sunucusundan birine bağlanmak için Hashed DLL adlarını ve API çözünürlüklerini kullanan dinamik bir bağlantı kitaplığı (DLL) olarak enjekte eder.
Bu sunucular, kurban IP adresleri, sistem parmak izleri ve coğrafi veriler de dahil olmak üzere granüler telemetri sağlayan Web tabanlı bir kontrol paneli aracılığıyla uygulanır ve operatörlerin hedeflenen kampanyaları hassasiyetle düzenlemesine izin verir.
Panelin dağıtım modülü, meta veri etiketleriyle yük depolamasını yönetirken, görevler modülü coğrafi filtreleme, şifrelenmiş Docker konteyner dağıtımları, zorunlu idari ayrıcalık kontrolleri, virtual makine algılama rutinleri ve şüpheleyi çözmek için simüle hata istemleri gibi gelişmiş özellikleri destekler.
Yükleyicinin çok yönlülüğü, tarayıcılardan ve kripto para birimi cüzdanlarından kimlik bilgisi hasadı için STEALC ve redline içeren yük ekosisteminde parlar, kalıcı backroundlar oluşturmak için netsupport faresi ve sektoprat için deerstealer ve ek malware yükleyicileri şekillendirir.
Her iki tehdidin her iki tehdidin de hakem yükleyicisini dağıttığı, işbirlikçi tehdit aktör ağlarına ipucu verdiği ve ilişkilendirmeyi daha da karmaşık hale getirdiği Deerstealer operasyonlarıyla örtüşüyor.
Ağ iletişimi, meşru dosya paylaşım hizmetleri ve tehlikeye atılmış web siteleri aracılığıyla yönlendirilir, yayından kaldırmalara karşı esnekliği artırır ve gizli yük alımını mümkün kılar.
Bu dağıtılmış mimari, Castleloader’ın modüler tasarımı ile birleştiğinde, tehdit profilini güçlendirerek, özellikle hükümet sistemleri gibi yüksek değerli hedeflere sızmayı becerikli hale getirir.
Birden fazla sektör ve kritik kurbanlara odaklanan enfeksiyonlarla Castleloader, sosyal mühendisliği teknik yetenekle harmanlayan modern kötü amaçlı yazılım yükleyicilerinin bir paradigmasını temsil eder.
Kuruluşlar, anormal PowerShell infazlarını tespit etmek için kimlik avına karşı savunmaları desteklemeye, GitHub bağımlılıklarını izlemeye ve davranışsal analizler uygulamaya istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Tanım |
|---|---|---|
| Sha-256 | 05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8 | Castleloader örneği (Polyswarm) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!