En azından Mart 2025’ten beri aktif olan sofistike bir tehdit oyuncusu olan TAG-150. Hızlı kötü amaçlı yazılım geliştirme, teknik sofistike ve genişleyen çok katmanlı bir altyapı ile karakterize edilen TAG-150, kimlik avı, Castlebot ve en son Castlerat-hedefleme organizasyonlarını kimlik avı kampanyaları ve hileli depolar aracılığıyla kullandı.
TAG-150 ilk olarak, bilgi çalanlar ve uzaktan erişim truva atları da dahil olmak üzere çeşitli takip yükleri sunan bir yükleyici olan Castleloader ile ortaya çıktı. Kısa süre sonra başka bir yükleyici varyantı olan Castlebot.
Ağustos 2025’in başlarında Insikt Group, hem Python hem de C varyantlarında bulunan, sistem keşif, yük indirme ve yürütme ve uzaktan kabuk komutları yeteneğine sahip olan uzaktan erişim Truva atı olan Castlerat’ı belgeledi.
C varyant ayrıca, devam eden özellik genişlemelerini yansıtan anahtarlama, ekran yakalama, dosya yükleme/indirme ve işlem sonlandırma gibi gelişmiş işlevleri içerir.
Kaydedilen Future’s Insikt Grubu, dört katmanlı bir modelde faaliyet gösteren bir TAG-150’nin altyapısını ortaya çıkardı. Tier 1, Castleloader, Castlerat, Sectoprat ve Warmcookie dahil olmak üzere kötü amaçlı yazılım aileleri için kurbanlara bakan komut ve kontrol (C2) sunucularından oluşur.
Genellikle Namecheap veya Tucows aracılığıyla kaydedilen bu sunucular, Servinga GMBH ve FEMO BT çözümleri gibi önemli sağlayıcılarla birden fazla otonom sistemde barındırılır.
Tier 2, RDP üzerinden erişilen ve Tier 1’e bağlantıları aşamalı olarak kullanılan VPS aracılarından oluşur. Seviye 3 iki farklı küme içerir: TLS sertifikasını paylaşan bir dizi VPS sunucusu ve Tox ile iletişim kuran bir Rus konut IP’si, olası bağlı veya ikinci operatör katılımı.
Tier 4, VPS düğümlerini bağlayan uzun süredir devam eden yüksek port UDP oturumları ile yedekleme katmanı olarak hizmet ediyor gibi görünüyor.
Enfeksiyon vektörleri ve kurban profili
TAG-150, kurbanları PowerShell komutlarını yürütmeye teşvik etmek için öncelikle Cloudflare temalı “ClickFix” kimlik avı saldırıları ve sahte GitHub depolarını kullanır.
Genel tıklama oranları mütevazı kalsa da, nişanlı kullanıcıların yaklaşık% 29’u enfekte oldu ve kampanyanın etkinliğinin altını çizdi.
Kaydedilen gelecek istihbarat, hedeflerin ağırlıklı olarak Amerika Birleşik Devletleri’nde olduğunu, özel kişileri ve potansiyel olarak işletme ağlarını kapsadığını, ancak az sayıda kuruluşun açıkça ihlalleri kabul ettiğini göstermektedir.
Mülkiyet kötü amaçlı yazılımların ötesinde, TAG-150 çeşitli siber suçlu araç ve platformlardan yararlanır. Insikt Group, anti tespit için Kleenscan’ın kullanımını, güvenli iletişim için öküz ağı, temp.sh ve mega.nz gibi dosya paylaşım hizmetleri, kripto para takas sitesi Simpleswap.io ve Exploit forumu gibi yeraltı forumlarını tanımladı.
Bununla birlikte, veri kapsamı şehri, posta kodu ve IP’nin bir VPN, proxy veya TOR düğümü ile ilişkili olup olmadığının göstergelerini içerecek şekilde genişletilmiştir.
Bu hizmetler, TAG-150’nin yükleri barındırmasını, trafiği anonimleştirmesini ve C2 altyapısını yönetmesini sağlar.
Hafifletme
TAG-150’ye karşı savunmak için, güvenlik ekipleri şunlar olmalıdır:
- Castleloader, Castlebot, Castlerat ve diğer yükleyiciler, infostalers ve sıçanlarla bağlantılı IP adreslerini ve alanlarını bloke edin.
- Pastebin gibi alışılmadık dosya paylaşımı veya yapıştırma hizmetlerini izleyin ve potansiyel olarak engelleyin.
- Tarihsel ve mevcut kötü amaçlı yazılım imzalarını kapsayan Yara, Snort ve Sigma kurallarını dağıtın.
- Kimlik avı yemini kesmek için sağlam e -posta filtreleme uygulayın.
- Ağ istihbarat platformlarını kullanarak anormal veri eksfiltrasyonunu izleyin.
Insikt Grubu Raporunun Ek A, uzlaşma göstergelerinin (IOCS) kapsamlı bir listesini sunarken, Ekler C – E, SIEM ve uç nokta platformları için algılama kuralları sunmaktadır.
TAG-150’nin çeviklik ve yeni kötü amaçlı yazılım geliştirme istekliliği, araç setinin sürekli genişlemesini önerdi.
Insikt Grubu, potansiyel olarak ileri düzey önleme hizmetleri yoluyla gizli ve kaçakçılığın daha fazla geliştirilmesini öngörmektedir.
TAG-150’nin altyapı uyarlanabilirliği göz önüne alındığında, üçüncü taraf iştiraklerinin araçlarını dağıtmasını sağlayan hizmet olarak kötü amaçlı yazılım teklifleri de riski vardır.
Güvenlik uygulayıcıları uyanık kalmalı, TAG-150’nin gelişen altyapısını sürekli olarak izlemeli ve bu ortaya çıkan aktörün yarattığı tehdidi azaltmak için proaktif savunmaları benimsemelidir. Insikt Group, TAG-150’nin faaliyetlerini izlemeye, yeni gelişmeleri bildirmeye ve algılama stratejilerini buna göre güncellemeye devam edecektir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.