GrayBravo: растущая угроза в мире MaaS и целенаправленные атаки на логистический сектор

Эксперты группы Insikt Group продолжают отслеживать деятельность угрозы GrayBravo (ранее известной как TAG-150) - технически сложного и быстро развивающегося злоумышленника, впервые обнаруженного в сентябре 2025 года. Последний анализ выявил четыре различные кластера активности, использующие вредоносное ПО CastleLoader от GrayBravo, что подтверждает гипотезу о работе злоумышленника по модели Malware-as-a-Service (MaaS). Отдельные кластеры демонстрируют высокую специализацию, включая целенаправленные кампании против транспортно-логистических компаний.

Описание

GrayBravo характеризуется быстрыми циклами разработки, адаптивностью и масштабной многоуровневой инфраструктурой. Группа ответственна за создание нескольких семейств вредоносного ПО, включая CastleLoader, CastleBot и недавно обнаруженный удаленный троянец CastleRAT. Последний представляет собой RAT, наблюдаемый в вариантах на C и Python, который использует кастомный бинарный протокол с шифрованием RC4. Анализ инфраструктуры CastleRAT выявил стратегию избыточности: скомпрометированные хосты одновременно связываются с несколькими серверами командования и управления, что указывает на зрелую скоординированную операционную модель.

Несмотря на предположения о модели MaaS, прямых рекламных объявлений или обсуждений данного сервиса на подпольных форумах обнаружено не было. Однако идентификация нескольких независимых кластеров активности, использующих CastleLoader, косвенно подтверждает эту модель. Каждый кластер демонстрирует уникальные тактики, техники и процедуры и профили жертв.

Особый интерес представляет кластер, отслеживаемый как TAG-160. Он активен с марта 2025 года и специализируется на целевых атаках на логистический сектор. Злоумышленники имитируют глобальные логистические компании, используют фишинговые приманки и технику ClickFix для распространения CastleLoader. Для повышения доверия они подделывают легитимные электронные письма и злоупотребляют платформами для поиска грузов, такими как DAT Freight & Analytics и Loadlink Technologies. Атака начинается с фишингового письма, часто содержащего поддельное предложение по фрахту. Перейдя по ссылке, жертва попадает на целевую страницу для сбора данных, после чего ей под видом процедуры подписания документа предлагается выполнить серию команд ClickFix, ведущих к скрытой загрузке вредоносной полезной нагрузки.

Второй кластер, TAG-161, также активен с июня 2025 года и использует приманки, имитирующие Booking.com. Он также применяет технику ClickFix для доставки CastleLoader и загрузчика Matanbuchus. В рамках исследования этого кластера был обнаружен ранее не встречавшийся набор инструментов для управления фишинговыми рассылками, включающий веб-панели с названиями «Менеджер Email» и «Менеджер Редиректов и рассылок». Эти панели, размещенные на высоких портах, позволяют управлять массовыми редиректами, SMTP-конфигурациями и шаблонами писем, что свидетельствует о высоком уровне автоматизации кампаний.

Инфраструктура, связанная с этими кластерами, часто размещается в автономных системах, имеющих связи с провайдером «пуленепробиваемого» хостинга BEARHOST, известным поддержкой операций с вымогательским ПО. Это указывает на использование злоумышленниками надежных и устойчивых хостинг-сервисов.

Анализ исторической инфраструктуры CastleLoader также выявил потенциальную связь с пользователем подпольного Exploit Forum с псевдонимом «Sparja». Этот пользователь проявлял активный интерес к приобретению или аренде дроппера или загрузчика, а панель управления с названием «Sparja» демонстрировала стилистическое сходство с типичными панелями CastleLoader. Хотя прямых доказательств сотрудничества нет, деятельность Sparja в соответствующих кругах, включая обсуждения с другими известными угрозами, помещает его в одну экосистему с распространителями вредоносного ПО.

Для защиты от угроз, связанных с GrayBravo и аффилированными кластерами, специалистам по безопасности рекомендуется блокировать IP-адреса и домены, связанные с загрузчиками, похитителями информации и удаленными троянцами, а также помечать и блокировать подключения к необычным легитимным интернет-сервисам. Ключевыми мерами являются внедрение фильтрации электронной почты, мониторинг эксфильтрации данных и развертывание обновленных правил обнаружения для выявления вредоносной активности.

Прогнозируется, что GrayBravo продолжит расширять свою пользовательскую базу и разрабатывать новые инструменты, укрепляя позиции на рынке MaaS. Такие целевые кластеры, как TAG-160, демонстрируют растущую изощренность атак на конкретные отрасли, что требует от компаний, особенно в логистическом секторе, повышенной бдительности и применения комплексных мер кибербезопасности.

Индикаторы компрометации

IPv4

102.135.95.102
104.225.129.171
107.158.128.26
109.104.153.100
109.104.153.193
109.104.153.29
109.104.154.67
144.208.126.50
147.45.177.127
162.215.230.150
162.215.230.96
162.215.241.215
162.215.241.46
162.251.80.108
168.100.8.84
170.130.165.201
172.86.90.58
173.44.141.52
178.17.57.102
178.17.57.103
178.17.57.153
185.121.234.141
185.125.50.125
185.149.146.118
185.156.248.24
185.196.10.8
185.196.11.171
185.196.9.222
185.196.9.80
185.208.158.250
185.236.20.154
185.39.19.164
185.39.19.180
185.39.19.181
185.39.19.94
192.109.138.102
192.124.178.74
192.153.57.125
194.76.227.242
195.149.146.118
195.201.108.189
195.211.97.51
195.85.115.44
199.79.62.141
204.11.58.80
207.174.212.141
31.58.50.160
31.58.87.132
34.72.90.40
45.11.180.174
45.11.180.198
45.11.181.59
45.11.183.165
45.11.183.19
45.11.183.45
45.134.26.41
45.135.232.149
45.144.53.62
45.155.249.121
45.32.69.11
45.61.136.81
46.28.67.22
5.35.44.176
64.52.80.121
66.63.187.224
67.217.228.198
74.119.239.234
77.238.241.203
77.83.207.55
77.90.153.43
78.153.155.131
79.132.130.148
79.132.131.200
80.64.18.245
80.77.25.114
80.77.25.239
80.77.25.88
85.192.49.6
85.208.84.115
85.208.84.65
87.120.93.167
88.214.50.83
91.202.233.132
91.202.233.250
94.141.122.164

Domains

alafair.net
albafood.shop
albalk.lol
anotherproject.icu
autryjones.com
bdeskthebest.shop
bestproxysale.shop
bestvpninfo.shop
bethschwier.com
bioskbd.com
blkiesf.com
boikfrs.com
boiksal.com
bookingnewprice109034.icu
bookingnewprice204167.icu
campanyasoft.com
castlppwnd.com
cdlfreightlogistics.com
checkinastayverify.com
checkinistayverify.com
checkinstayverify.com
checkistayverify.com
checksstayverify.com
checkystayverify.com
chessinthenight.lol
cik-ed.com
clgenetics.shop
confirmahotelastay.com
confirmahotelstay.com
confirmhotelestay.com
confirmhotelistay.com
confirmhotelystay.com
confirmstayon.com
confirmstayonline.com
confirmyhotelstay.com
cut-gv.com
dip-bo.com
docusign.homes
dok-ol.com
donttouchme.life
donttouchthisisuseless.icu
doyoureallyseeme.icu
dpeformse.com
dperforms.info
dubaialbafood.shop
dut-cd.com
easyadvicesforyou.shop
easyprintscreen.shop
englandloglstics.com
englanglogistlcs.com
eta-cd.com
eto-sa.com
fir-vp.com
for-es.com
funjobcollins.shop
gabesworld.com
galaxioflow.com
gir-vc.com
guestaformahub.com
guestaformhub.com
guestaformsafe.com
guestaportalverify.com
guestaverifyportal.com
guestformahub.com
guestformasafe.com
guestformhub.com
guestformsafe.com
guestistayhotel.com
guestportalverify.com
guest-request16433.com
guest-request44565494.com
guest-request64533.com
guest-request666543.com
guest-request677653.com
gueststayhotel.com
guest-update666532345.com
guestverifyhub.com
guestverifylink.com
guestverifyportal.com
guestystayhotel.com
guesutastayhotel.com
guesytastayhotel.com
gut-bk.com
her-op.com
hometownlogisticsllc.com
hoteliguestverify.com
hotelistayverify.com
hotelroomprice1039375.icu
hotelyguestverify.com
hotelystayverify.com
icantseeyou.icu
info676345677.com
info-guest44567645.com
ipk-sa.com
itp-ce.com
justnewdmain.com
kakapupuneww.com
kil-it.com
kip-er.com
leemanlogisticsinc.com
loadplannig.com
loads.icu
loadsplanning.com
loadsschedule.com
loadstracking.com
loadstrucking.com
mac-ig.com
map-nv.com
mcentireinc.com
mcloads.com
mechiraz.com
miteamss.com
mlxfreightinc.com
mrlogsol.ca
nedpihotel.com
ned-uj.com
newmessage10294.com
nicewk.com
nimbusvaults.com
norton-secure.shop
nort-secure.shop
notstablecoin.xyz
notusdt.lol
nvidblog.shop
nvldlainfoblog.shop
oldspicenotsogood.shop
otr-gl.com
pilolhotel.com
pinaccletruckllc.com
pit-kp.com
programsbookss.com
rateconfirmations.com
rcpeformse.com
redlightninglogistics.com
redlightninglogisticsinc.com
request345553.com
request44456776.com
request-info3444.com
request-info4433345.com
roject0.com
rol-vd.com
roomiverifaccess.com
roomverifaccess.com
roomverifiaccess.com
servicehotelonline.com
site-bila.com
site-here.com
site-reto.com
site-tilo.com
site-wila.com
speatly.com
spu-cr.com
starkforeveryone.lol
starshiplogisticsgroupllc.com
sweetdevices.lol
tam-cg.com
tdbfvgwe456yt.com
tenderloads.com
testdomain123123.shop
touchmeplease.icu
tradeviewdesktop.shop
tradlngview-desktop.biz
tradlngvlewdesktop.shop
tradview-desktop.shop
treetankists.com
trucksscheduling.com
uke-sd.com
uki-fa.com
update-gues3429.com
update-guest4398317809.com
update-info14546.com
update-info3458421.com
update-info4467.com
update-info4468765.com
update-info539156.com
update-info71556.com
update-reques898665.com
verifihubguest.com
verifyhubguest.com
vipcinemade.shop
vipcinemadubai.shop
vipdubaicinema.shop
wal-ik.com
wereatwar.com
xut-uv.com
xyt-ko.com
ykl-vh.com
yt-ko.com
zit-fl.com

URLs

https://steamcommunity.com/id/desdsfds34324y3g
https://steamcommunity.com/id/fio34h8dsh3iufs
https://steamcommunity.com/id/jeg238r7staf378s
https://steamcommunity.com/id/krouvhsin34287f7h3
https://steamcommunity.com/id/tfy5d6gohu8tgy687r7

YARA

rule MAL_CastleLoader {

meta:

author = "Insikt Group, Recorded Future"

date = "2025-08-06"

description = "Detection of the CastleLoader malware executable"

version = "1.0"

reference = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"

hash = "1b6befc65b19a63b4131ce5bcc6e8c0552fe1e1d136ab94bc7d81b3924056156"

hash = "202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04"

hash = "25e0008aba82690e0f58c9d9fcfbc5d49820aa78d2f7bfcd0b85fb969180fc04"

hash = "b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2"

hash = "fb9de7448e9e30f717c171f1d1c90ac72828803a16ad385757aeecc853479d3c"

hash = "6444f0e3f78254aef663837562d258a2236a77f810ee8d832de7d83e0fdd5783"

malware = "CastleLoader"

malware_id = "8RF9P9"

category = "MALWARE"

strings:

$vmware_check = { 3D 56 4D 77 61 75 ?? 81 7D F8 72 65 56 4D 0F 85 ?? ?? ?? ?? 81 7D F4 77 61 72 65 }

$api_hashing = { 0F BE 0C 1E 8B C2 F6 C3 01 75 0F C1 E8 03 0F AF C1 8B CA C1 E1 07 33 C1 }

$stack_str_url = { C7 ?5 [1-4] 74 00 74 00 C7 ?5 [1-4] 69 00 6E 00 C7 ?5 [1-4] 67 00 73 00 }

$mov_edx_apihash1 = { BA 44 A0 2D 39 } // CreateMutexW

$mov_edx_apihash2 = { BA 2B C2 86 58 } // GetLastError

$mov_edx_apihash3 = { BA 94 F9 86 F8 } // RtlAllocateHeap

$mov_edx_apihash4 = { BA B2 48 70 60 } // ExitProcess

condition:

uint16(0) == 0x5A4D and all of them

}

rule MAL_CastleRAT_Python {

meta:

author = "Insikt Group, Recorded Future"

date = "2025-08-18"

description = "Detection of the python variant of CastleRAT malware"

version = "1.0"

reference = "https://www.recordedfuture.com/research/from-castleloader-to-castlerat-tag-150-advances-operations"

reference = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"

reference = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"

hash = "94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a"

hash = "53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df"

malware = "CastleRAT"

malware_id = "9WCga-"

category = "MALWARE"

actor = "TAG-150"

actor_id = "9nk6DO"

strings:

$cmd1 = "S_CONNECT" fullword

$cmd2 = "S_COMMAND" fullword

$cmd3 = "S_PING" fullword

$cmd4 = "S_CMD" fullword

$cmd5 = "S_DELETE" fullword

$cmd6 = "S_POWERSHELL" fullword

$cmd7 = "S_START_TERMINAL" fullword

$cmd8 = "S_SESSION_MESSAGE" fullword

$cmd9 = "S_UPLOAD" fullword

$fun1 = "CheckElevation():" fullword

$fun2 = "GetHWID("

$fun3 = "GetOS("

$fun4 = "GetIpGeo("

$fun5 = "rc4createkeyA("

$fun6 = "EncryptDecryptBufA("

$fun7 = "RecvTimeout("

$fun8 = "Send("

$fun9 = "Connect("

$fun10 = "ThreadPing("

$fun11 = "ThreadRecvTerminal("

$fun12 = "ThreadTerminalSession("

$fun13 = "ThreadUploadFile("

$fun14 = "SelfDelete()" fullword

condition:

filesize < 50KB and

7 of ($cmd*) and

10 of ($fun*)

}

rule MAL_CastleRAT_C {

meta:

author = "Insikt Group, Recorded Future"

date = "2025-08-18"

description = "Detection of the C variant of CastleRAT malware"

version = "2.0"

reference = "https://www.recordedfuture.com/research/from-castleloader-to-castlerat-tag-150-advances-operations"

reference = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"

reference = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"

hash = "1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75"

hash = "e6bcdf375649a7cbf092fcab65a24d832d8725d833e422e28dfa634498b00928"

hash = "67cf6d5332078ff021865d5fef6dc61e90b89bc411d8344754247ccd194ff65b"

hash = "963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d"

hash = "60125159523c356d711ffa1076211359906e6283e25f75f4cf0f9dc8da6bf7b0"

hash = "cf202498b85e6f0ae4dffae1a65acbfec78cc39fce71f831d45f916c7dedfa0c"

malware = "CastleRAT"

malware_id = "9WCga-"

category = "MALWARE"

actor = "TAG-150"

actor_id = "9nk6DO"

strings:

$log_tag1 = "clipboardlog.txt" fullword wide

$log_tag2 = "keylog.txt" fullword wide

$wnd_class1 = "IsabellaWine" fullword wide

$wnd_class2 = "camera!" fullword wide

$log_fmt1 = "[%02d:%02d %02d.%02d.%02d] %ws" fullword wide

$log_fmt2 = "[%02d:%02d %02d.%02d.%02d] " fullword wide

$log_fmt3 = "[%02d.%02d.%02d %02d:%02d] " fullword wide

$s1 = "(VPN)" wide ascii

$s2 = "rundll32 \"C:\\Windows\\System32\\shell32.dll\" #61" wide

$s3 = "\"%ws\" -no-deelevate" fullword wide

$s4 = "IsWindowVisible" fullword ascii

$s5 = "UAC_InputIndicatorOverlayWnd" fullword wide

$s6 = "www.ip-api.com" fullword wide

$s7 = "MachineGuid" fullword wide

$s8 = "line/?fields=" wide

$s9 = "C:\\Windows\\System32\\cmd.exe" wide

$s10 = "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe" fullword wide

condition:

uint16(0) == 0x5a4d and

any of ($log_tag*) and

any of ($wnd_class*) and

any of ($log_fmt*) and

all of ($s*)

}

rule MAL_CastleRAT_Shellcode_Loader {

meta:

author = "Insikt Group, Recorded Future"

date = "2025-10-20"

description = "Detection of a python based shellcode loader that runs CastleRAT malware"

version = "1.0"

reference = "https://www.recordedfuture.com/research/from-castleloader-to-castlerat-tag-150-advances-operations"

hash = "058d83fd8834246d6d2a2771e6e0aeb4d4ef8a6984cbe1133f3a569029a4b1f7"

hash = "190e673787bfc6e8eeebccd64c8da61747d5be06f87d3aea879118ef1a9f4836"

malware = "CastleRAT"

actor = "TAG-150"

actor_id = "9nk6DO"

category = "MALWARE"

malware_id = "9WCga-"

strings:

$s1 = "SHELL64_OFFSET = "

$s2 = "SHELL32_OFFSET = "

$s3 = "SHELLFUNC = WINFUNCTYPE"

$s4 = "LoadPE_Shell"

$s5 = "crt = WinDLL(\"msvcrt.dll\");"

$s6 = "OPEN_EXISTING" fullword

$s7 = ".VirtualProtect("

$s8 = "offset"

$s9 = "from ctypes"

condition:

filesize < 50KB and $s9 at 0 and all of them

}