TAG-150 olarak adlandırılan sofistike yeni bir tehdit oyuncusu, Mart 2025’ten beri kendinden geliştirilen birden fazla kötü amaçlı yazılım ailesinin dağıtılmasında hızlı geliştirme yetenekleri ve teknik sofistike olduğunu gösteren önemli bir siber güvenlik endişesi olarak ortaya çıkmıştır.
Grup, CastleLoader, Castlebot ve en son yaratılışları Castlerat’ı, operasyonel yeteneklerinde ilgili bir evrimi temsil eden daha önce belgelenmemiş bir uzaktan erişim Trojan’ı başarıyla yarattı.
Tehdit oyuncusu öncelikle enfeksiyonları Cloudflare temalı “ClickFix” kimlik avı saldırıları ve meşru uygulamalar olarak maskelenen hileli GitHub depoları yoluyla başlatır.
Mağdurlar, kendi cihazlarında kötü niyetli PowerShell komutlarının kopyalanması ve yürütülmesi için aldatılır ve geleneksel güvenlik önlemlerini atlayan görünüşte kullanıcı tarafından başlatılan bir uzlaşma yaratırlar.
Sınırlı genel katılımlara rağmen, kampanya, kötü niyetli bağlantılarla etkileşime giren ve sosyal mühendislik taktiklerinin etkinliğini gösteren kurbanlar arasında kayda değer bir% 28,7 enfeksiyon oranı elde etti.
Kaydedilen gelecek analistler, TAG-150’nin operasyonlarını destekleyen kapsamlı bir çok katmanlı altyapı belirledi ve dört ayrı katmanı kapsayan sofistike bir komut ve kontrol mimarisini ortaya koydu.
Altyapı, çeşitli kötü amaçlı yazılım ailelerini barındıran mağdura bakan Tier 1 sunucularını, RDP aracılığıyla erişilen ara katman 2 sunucularını ve operasyonel yönetim ve yedekleme amaçları için kullanılan daha yüksek seviye 3 ve Tier 4 altyapısını içerir.
Bu karmaşık ağ tasarımı, gelişmiş operasyonel güvenlik bilinci ve fazlalık planlaması önermektedir.
TAG-150 tarafından konuşlandırılan kötü amaçlı yazılım ekosistemi, Sectoprat, Warmcookie, Hanjackloader, Netsupport sıçan ve StealC, Redline Stealer ve Rhadamanthys çalmacı gibi çok sayıda bilgi stealer gibi ikincil yükler sunmak için bir başlangıç enfeksiyon vektörü görevi görür.
.webp)
Bu farklı yük dağıtım özelliği, hizmet olarak kötü amaçlı yazılım işlemlerini veya diğer siber suçlu gruplarla stratejik ortaklıkları gösterir.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Castlerat, farklı özelliklere sahip Python ve C varyantlarında bulunan TAG-150’nin arsenalinin teknik olarak en gelişmiş bileşenini temsil eder.
Kötü amaçlı yazılım, güvenli iletişim için sabit kodlu 16 bayt tuşlarla RC4 şifrelemesini kullanan özel bir ikili protokol kullanır.
Her iki varyant, enfekte olmuş ana bilgisayarın genel IP adresi aracılığıyla konum bilgilerini almak için coğrafi konum API IP-api.com’u sorgulayarak coğrafi hedefleme ve operasyonel istihbarat toplama sağlar.
C varyantı, anahtarlık özelliklerini, ekran yakalama, pano izleme ve sofistike proses enjeksiyon tekniklerini içeren önemli ölçüde gelişmiş işlevsellik gösterir.
Son gelişmeler arasında, tespit etmek için meşru oyun platformlarını kullanan komut ve kontrol iletişimine yenilikçi bir yaklaşımı temsil eden Steam Topluluk Sayfaları’nda barındırılan C2 Daddrops’un uygulanması yer alıyor.
Kötü amaçlı yazılım, kayıt defteri modifikasyonları yoluyla kalıcılığı korur ve yürütme için maskelenen tarayıcı işlemi kullanırken, Python varyantı PowerShell komutlarını kullanarak kendi kendine aşınma yeteneklerini içerir.
Bu kaçırma teknikleri, grubun Kleenscan gibi anti-tespit hizmetlerini kullanmasıyla birleştiğinde, TAG-150’nin operasyonel uzun ömür ve gizli konusundaki taahhüdünü göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.