Castleloader olarak adlandırılan yeni tanımlanmış bir yükleyici kötü amaçlı yazılım, 2025’in başından beri önemli bir tehdit olarak ortaya çıktı ve çeşitli bilgi çalanlar ve uzaktan erişim truva atları (sıçanlar) için hızla bir dağıtım platformuna dönüştü.
T1566 kapsamında sofistike kimlik avı taktiklerinden yararlanmak ve T1189 olarak sınıflandırılan sürücüden uzlaşma yöntemleri, meşru yazılım kütüphaneleri, Google Meet gibi çevrimiçi toplantı platformları, tarayıcı güncelleme bildirimleri veya T1036 teknikleri aracılığıyla doğrulama sistemlerini belgelemek.
Bu sosyal mühendislik ploy, kurbanları pano manipülasyonu yoluyla kötü niyetli PowerShell komutlarını (T1059.001) yürütmeye yönlendirir ve kullanıcı güvenini kullanarak geleneksel güvenlik savunmalarını etkili bir şekilde atlar.
Mayıs 2025’te başlayan iki aylık bir süre boyunca, tehdit aktörleri Castleloader’ı yedi farklı komuta ve kontrol (C2) sunucusuna yerleştirdi ve 469 başarılı enfeksiyonla sonuçlanan 1.634 indirme denemesi kaydedildi.
Özellikle, bu operasyonlar ABD hükümet kuruluşları da dahil olmak üzere 400’den fazla kritik kurbanı tehlikeye attı ve Castleloader’ın hedefli erişimini ve yaygın hasar potansiyelini gösterdi.
Enfeksiyon zincirinin teknik dökümü
Birincil dağıtım vektöründe Castleloader, sahte hata mesajları veya captcha istemleri görüntüleyen CloudFlare temalı ClickFix phish avlama sitelerini kullanır ve kullanıcıların PowerShell komut dosyalarını Windows Run iletişim kutusuna kopyalayıp yapıştırmasını ister (T1204.004).
Catalyst Report’a göre, bu eylem, panoyu gizlenmiş kodla dolduran /s.php?an=0 gibi kötü niyetli bir PHP uç noktasına bir arka plan isteğini tetikler.
Yürütme üzerine komut dosyası, /s.php?an=2 gibi ikincil bir uç noktadan bir zip arşivi indirir, system.io.compression.filesystem kullanarak çıkarır ve kabuk kodunu belleğe yükleyen bir otomatik komut dosyası (t1059.010) çalıştırır.
Bu kabuk kodu, T1105 Ingress alet aktarımı yoluyla ek yükler almak için Web Protokolleri (T1071.001) üzerinden C2 iletişimi kurmadan önce karma DLL’leri ve API’leri çözer.
Kampanyaya bağlı olarak, kurbanlar StealC, Redline, Netsupport sıçan, Deerstealer, HijackLoader veya Sectoprat dahil olmak üzere ikincil kötü amaçlı yazılımlar alır, her biri kimlik bilgisi hasat, arka kapı erişimi veya daha fazla yükleyici zinciri için tasarlanmıştır.
Alternatif bir yöntem, kötü amaçlı yürütülebilir ürünlerin (T1204.002) yük dağıtım için doğrudan C2 sunucularına bağlandığı SQL Server Management Studio gibi araçları taklit eden sahte GitHub depolarını içerir.
Paylaşılan korsanlık yükleyici örnekleri (örneğin, AAFCF3FC0EB947759E1C97917A6533A4 gibi Deerstealer kampanyalarıyla örtüşer, tehdit aktörleri arasında koordineli çabaları önerir, dağıtılmış alanlar ve şifreli disklik içerikleri aracılığıyla esnekliği artırır.
C2 Altyapı
Castleloader’ın C2 paneli, sürüm 1.1 Alpha, istatistik, ziyaret, kurulum, teslimat, görevler ve kampanyalar için modüller dahil olmak üzere Maas benzeri özelliklere sahip Web tabanlı bir yönetim arayüzü olarak çalışır.
Kurulumlar bölümü, IP adresleri, kullanıcı aracıları ve sistem ayrıntıları gibi kurban telemetrisini (T1005) toplar, operatörlerin enfeksiyonları izlemesini ve yükü yeniden yürütmesini tetiklemelerini sağlar.
Teslimat ve Görevler Modülleri Yük yüklemeleri, coğrafi hedefleme ve anti-VM algılama ve ayrıcalık artışı gibi yürütme parametrelerini yönetirken, ziyaretler rafine saldırılar için kullanıcı ortamlarını analiz eder.
Sofistike olmasına rağmen, Castleloader yeraltı forumu satışlarında ortaya çıkmamış ve bu da olası kurum içi gelişimini göstermiştir.
Bu kötü amaçlı yazılımların veri açığa çıkması için stealer’ların dağıtılmasındaki çok yönlülüğü ve kalıcı erişim için sıçanlar, çok yönlü siber suçlu işlemlerdeki rolünün altını çiziyor ve ağ iletişimi, atıftan kaçınmak için meşru hizmetleri kapsamaktadır.
Temmuz 2025 itibariyle, yüksek enfeksiyon oranı ve yüksek değerli hedeflere odaklanma, bu tür insan merkezli tehditlere karşı koymak için gelişmiş kullanıcı farkındalığı eğitimi, pano izleme ve davranışsal analitik ihtiyacını vurgulamaktadır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now