Главная страница » Индикаторы компрометации
0
5 дней
Индикаторы компрометации

IBM X-Force обнаружила новый фреймворк CastleBot для гибкого распространения вредоносных программ

information security

Эксперты IBM X-Force раскрыли детали нового вредоносного фреймворка под названием CastleBot, который функционирует по модели Malware-as-a-Service (MaaS). Этот инструмент позволяет злоумышленникам доставлять на зараженные системы различные типы вредоносного ПО - от инфостилеров до бэкдоров, таких как NetSupport и WarmCookie, которые ранее связывались с атаками ransomware.

Описание

Методы распространения и структура CastleBot

Основным вектором заражения стали троянизированные установщики программного обеспечения, распространяемые через поддельные веб-сайты. Злоумышленники активно используют SEO-отравление, чтобы их страницы занимали высокие позиции в поисковых системах, обманывая пользователей и заставляя их загружать вредоносное ПО.

После заражения CastleBot выполняет трехэтапный процесс:

  • Stager (загрузчик) - скачивает дополнительные компоненты.
  • Loader (загрузчик) - подготавливает и запускает основной модуль.
  • Core (ядро бэкдора) - связывается с C2-сервером для получения инструкций.

Фреймворк позволяет операторам эффективно фильтровать жертв, обновлять вредоносные нагрузки и управлять кампаниями.

Технические особенности

  • API: CastleBot использует алгоритм DJB2 для динамического разрешения API-функций, что усложняет анализ.
  • Шифрование конфигурации: Настройки хранятся в зашифрованном виде с уникальными XOR-ключами для каждой строки.
  • Связь с C2: Все коммуникации, кроме первого GET-запроса, шифруются с помощью алгоритма ChaCha.

Обновления и новые возможности

В июле 2025 года появилась обновленная версия CastleBot с расширенными функциями:

  • Дополнительные методы запуска, включая инъекции в процессы и выполнение PowerShell-скриптов.
  • Обход Wow64: Опция для запуска 32-битных системных бинарников в 64-битных системах.
  • Улучшенная инъекция PE: Теперь используется более скрытный метод загрузки через QueueUserAPC и ResumeThread.

Полезные нагрузки и кампании

CastleBot доставляет разнообразное вредоносное ПО:

  • NetSupport RAT: Распространялся через поддельные страницы DocuSign и Okta.
  • WarmCookie (BadSpace): Связан с группировкой TA866, ранее использовался в атаках ransomware.
  • Инфостилеры (Rhadamanthys, Remcos, DeerStealer): Часто загружаются в рамках одной кампании для максимального охвата данных.

Выводы и рекомендации

CastleBot демонстрирует растущую тенденцию: киберпреступники переходят на сложные M-aaS-фреймворки, которые позволяют гибко управлять атаками. Учитывая активное развитие этого инструмента, организациям следует усилить защиту, уделяя внимание:

  • Проверке загружаемого ПО из ненадежных источников.
  • Мониторингу подозрительной активности в процессах.
  • Блокировке известных C2-серверов и доменов.

IBM X-Force продолжает отслеживать активность CastleBot и рекомендует компаниям обновлять системы защиты для противодействия новым угрозам.

Индикаторы компрометации

IPv4

  • 170.130.165.112

URLs

  • http://107.158.128.105/c91252f9ab114f26.php
  • http://107.158.128.45/service/
  • http://107.158.128.45/service/download/CCver_Setup.exe
  • http://107.158.128.45/service/download/Exchanger32.zip
  • http://173.44.141.89/service/
  • http://173.44.141.89/service/download/data_3x.bin
  • http://173.44.141.89/service/download/data_4x.bin
  • http://173.44.141.89/service/download/docusign2.exe
  • http://62.60.226.73/service/
  • http://80.77.23.48/service/
  • http://mhousecreative.com/service/
  • http://mhousecreative.com/service/download/general_1
  • https://google.herionhelpline.com/app/AcerUSBUpdate.
  • https://google.herionhelpline.com/app/light1_v5_signed.
  • https://google.herionhelpline.com/app/SlackUpdateWeb.html

SHA256

  • 03122e46a3e48141553e7567c659642b1938b2d3641432f916375c163df819c1
  • 05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8
  • 12de997634859d1f93273e552dec855bfae440dcf11159ada19ca0ae13d53dff
  • 202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04
  • 2a2cd6377ad69a298af55f29359d67e4586ec16e6c02c1b8ad27c38471145569
  • 4834bc71fc5d3729ad5280e44a13e9627e3a82fd4db1bb992fa8ae52602825c6
  • 53dddae886017fbfbb43ef236996b9a4d9fb670833dfa0c3eac982815dc8d2a5
  • 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4
  • 8b2ebeff16a20cfcf794e8f314c37795261619d96d602c8ee13bc6255e951a43
  • 8bf93cef46fda2bdb9d2a426fbcd35ffedea9ed9bd97bf78cc51282bd1fb2095
  • a2898897d3ada2990e523b61f3efaacf6f67af1a52e0996d3f9651b41a1c59c9
  • ab725f5ab19eec691b66c37c715abd0e9ab44556708094a911b84987d700aa62
  • b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2
  • bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890
  • c8f95f436c1f618a8ef5c490555c6a1380d018f44e1644837f19cb71f6584a8a
  • cbaf513e7fd4322b14adcc34b34d793d79076ad310925981548e8d3cff886527
  • d6eea6cf20a744f3394fb0c1a30431f1ef79d6992b552622ad17d86490b7aa7b
  • e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85
Комментарии: 0
Похожие записи
0
12.10.2023
Индикаторы компрометации

X-Force обнаружила глобальную кампанию по сбору учетных данных на шлюзе NetScaler

security
В сентябре 2023 года компания X-Force обнаружила кампанию, в рамках которой злоумышленники использовали уязвимость CVE-2023-3519 для атаки на непропатченные шлюзы NetScaler с целью вставки вредоносного
0
21.05.2024
Индикаторы компрометации

Grandoreiro Trojan IOCs - Part 2

remote access Trojan
IBM X-Force с марта 2024 года отслеживает ряд фишинговых кампаний, распространяющих банковский троян Grandoreiro. Анализ вредоносной программы показал значительные обновления в алгоритме расшифровки строк
0
17.06.2025
Индикаторы компрометации

Опасный троян DCRat активизируется в Латинской Америке: новые схемы заражения через фишинговые письма

remote access Trojan
IBM X-Force предупредил о росте активности трояна DCRat в Латинской Америке, где злоумышленники используют изощренные фишинговые схемы для заражения жертв. В начале мая 2025 года группа Hive0131, вероятно
0
24.11.2022
Индикаторы компрометации

RansomExx Ransomware IOCs - Part 2

ransomware
Исследователи угроз IBM Security X-Force обнаружили новый вариант вымогательского ПО RansomExx, который был переписан на языке программирования Rust, присоединившись к растущей тенденции перехода разработчиков вымогательского ПО на этот язык.