Castleloader adı verilen Hizmet Olarak Kötü Yazılım (MAAS) çerçevesi ve yükleyicinin arkasındaki tehdit oyuncusu, Castlerat.
Future Insikt Group, “Hem Python hem de C varyantlarında bulunan Castlerat’ın temel işlevselliği, sistem bilgilerini toplamak, ek yükleri indirmek ve yürütmek ve CMD ve PowerShell üzerinden komutlar yürütmekten oluşuyor.” Dedi.
Siber güvenlik şirketi, TAG-150 olarak kötü amaçlı yazılım ailelerinin arkasındaki tehdit oyuncusu izliyor. En azından Mart 2025’ten beri aktif olduğuna inanılan Castleloader ve arkadaşları, uzaktan erişim truva atları, bilgi çalanlar ve hatta diğer yükleyiciler de dahil olmak üzere çok çeşitli ikincil yükler için başlangıç erişim vektörleri olarak görülüyor.
Castleloader ilk olarak İsviçre siber güvenlik şirketi Prodaft tarafından Temmuz 2025’te, Deerstealer, Redline, Stealc, Netsupport Rat, Sectoprat ve Hızla yükleyici dağıtan çeşitli kampanyalarda kullanılmak üzere belgelendi.
Geçen ay IBM X-Force’dan sonraki bir analiz, kötü amaçlı yazılımın Meşru yazılımı taklit eden SEO zehirlenmesi ve GitHub depoları yoluyla Monsterv2 ve Warmcookie için bir kanal olarak hizmet ettiğini buldu.
“Enfeksiyonlar en çok Cloudflare temalı ‘ClickFix’ kimlik avı saldırıları veya yasal uygulamalar olarak maskelenen hileli GitHub depoları ile başlatılır.” Dedi.
“Operatörler, yazılım geliştirme kitaplıklarını, çevrimiçi toplantı platformlarını, tarayıcı güncelleme uyarılarını ve belge doğrulama sistemlerini taklit eden alan adlarından yararlanarak ClickFix tekniğini kullanır.”
Kanıtlar, TAG-150’nin Mart 2025’ten beri Castlerat üzerinde çalıştığını, tehdit oyuncusu, 1 kurban-yüzeyli komuta ve kontrol (C2) sunucularının yanı sıra, çoğunlukla sanal özel sunucular (VPS) ve Tier 4 yedek sunucular olan Seviye 2 ve Seviye 3 sunucularından oluşan çok katmanlı bir altyapı kullandığını göstermektedir.
TAG-150’nin Arsenal’in yeni keşfedilen ilavesi olan Castlerat, sonraki aşamalı yükleri indirebilir, uzaktan kabuk özelliklerini etkinleştirebilir ve hatta kendini silebilir. Ayrıca Steam Topluluğu Profillerini C2 sunucularını barındırmak için Dead Drop Ledervers olarak kullanır (“Program Kitapları[.]com “).
Özellikle, Castlerat, biri C ve diğeri Python’da programlanmış, ikincisi de Pightightshade olarak da adlandırılan iki versiyonda geliyor. Esentire’nin NightShadec2 adı altında aynı kötü amaçlı yazılımları izlediğini belirtmek gerekir.
Castlerat’ın C varyantı, daha fazla işlevsellik içerir, tuş vuruşlarını kaydetmesine, ekran görüntülerini yakalamasına, dosyaları yüklemeye/indirmesine ve bir kripto para birimi kesme makinesi olarak işlev görür.
“Python varyantında olduğu gibi, C varyantı yaygın olarak istismar edilen IP coğrafi konum hizmeti IP-api’yi sorgular[.]Com Enfekte ana bilgisayarın genel IP adresine dayalı bilgi toplamak için, “Recorded Future.” Ancak, veri kapsamı şehri, posta kodu ve IP’nin bir VPN, vekil veya TOR düğümü ile ilişkili olup olmadığının göstergelerini içerecek şekilde genişletildi. “
Bununla birlikte, Castlerat’ın C varyantının son yinelemeleri, şehirin sorgusunu ve Posta Kodunu IP-API’dan kaldırdı[.]com, aktif gelişimi gösteren. Python muadilinin özellik paritesine ulaşıp ulaşamayacağı görülüyor.
Esentir, kendi NightShadec2 analizinde, bunu bir .NET yükleyici aracılığıyla dağıtılan bir botnet olarak tanımladı ve bu da UAC Güvenlik Korumaları’na yönelik bombalama gibi teknikleri kullandı. Kanada siber güvenlik şirketi, krom ve Gecko tabanlı web tarayıcılarından şifreleri ve çerezleri çıkarmak için özelliklerle donatılmış varyantları da belirlediğini söyledi.
Özetle, işlem, son yük (yani Nightshadec2) için Windows Defans’a bir dışlama eklemeye çalışan bir döngüde bir PowerShell komutu çalıştırmayı içerir, daha sonra yükleyici 0 olup olmadığını (başarı anlamına gelir) tespit etmek için PowerShell işleminin çıkış kodunu doğrular.
Hariç tutma başarıyla eklenirse, yükleyici kötü amaçlı yazılımları teslim etmeye devam eder. 0 dışında başka bir çıkış kodu döndürülürse, döngü tekrar tekrar yürütmeye devam ederek kullanıcıyı kullanıcı hesap kontrolü (UAC) istemini onaylamaya zorlar.
“Bu yaklaşımın özellikle dikkate değer bir yönü, Windefend (Windows Defender) hizmeti devre dışı olan sistemlerin sıfır olmayan çıkış kodları oluşturması ve kötü amaçlı yazılım analizi sanal alanlarının yürütme döngüsünde sıkışmasına neden olacağıdır.”
Geliştirme Hunt.io olarak gelir. Redline Stealer ve DCRAT’a hizmet etmek için kullanılan TinyLoader adlı başka bir kötü amaçlı yazma makinesini detaylandırmıştır.
Windows kayıt defteri ayarlarını değiştirerek kalıcılık oluşturmanın yanı sıra, kötü amaçlı yazılım panoyu izler ve kopyalanan kripto cüzdan adreslerinin yerini anında değiştirir. C2 panelleri Letonya, İngiltere ve Hollanda’da barındırılmaktadır.
Şirket, “TinyLoader, kimlik bilgilerini toplamak ve işlemleri ele geçirmek için hem Redline Stealer hem de Kripto para birimi stealerları yüklüyor.” Dedi. “USB sürücüleri, ağ paylaşımları ve kullanıcıları açmaya yönlendiren sahte kısayollardan yayılıyor.”
Bulgular ayrıca, klavye girişi toplayabilen ve kapsamlı sistem bilgileri toplayabilen INF0S3C Stealer olarak adlandırılan Tinkywinkey adlı Windows tabanlı bir keylogger olan iki yeni kötü amaçlı yazılım ailesinin keşfi ile de çakışıyor.
INF0S3C Stealer’ın daha fazla analizi, halka açık diğer iki kötü amaçlı yazılım ailesi olan boş Grabber ve Umbral çalmacı ile benzerlik noktalarını belirlemiştir ve aynı yazarın her üç suştan da sorumlu olabileceğini düşündürmektedir.
Cyfirma, “Tinkywinkey, kalıcı hizmet yürütmeyi, düşük seviyeli klavye kancalarını ve hassas bilgileri toplamak için kapsamlı sistem profilini birleştiren son derece yetenekli ve gizli bir Windows tabanlı keylogger’ı temsil ediyor.” Dedi.
INF0S3C Stealer “Ana bilgisayar tanımlayıcıları, CPU bilgileri ve ağ yapılandırması dahil olmak üzere sistem ayrıntılarını sistematik olarak toplar ve ekran görüntüleri yakalar. Çalışma işlemlerini numaralandırır ve masaüstü, belgeler, resimler ve indirmeler gibi kullanıcı dizinlerinin hiyerarşik görünümlerini oluşturur.”