Группа TAG-150, оператор вредоносного программного обеспечения как услуги (Malware-as-a-Service, MaaS), с марта 2025 года проводит целевые атаки с использованием многоступенчатой системы доставки вредоносных программ. Эта система включает два основных компонента: CastleLoader в качестве загрузчика и CastleRAT как трояна удаленного доступа. По данным исследователей, к маю 2025 года CastleLoader уже заразил 469 устройств, демонстрируя масштаб и изощренность кампании.
Описание
CastleLoader функционирует как модульный загрузчик, использующий методы обфускации кода для затруднения анализа. После распаковки полезной нагрузки он подключается к командному серверу для получения дополнительных компонентов. Ключевой особенностью является архитектура, позволяющая разделить первоначальное заражение и развертывание конечного вредоносного кода. Техника ClickFix имитирует системы проверки документов или уведомления об обновлениях браузера, заставляя жертв выполнять вредоносные сценарии PowerShell.
CastleRAT, в свою очередь, предоставляет злоумышленникам полный контроль над зараженной системой. Функциональность включает перехват нажатий клавиш, захват экрана и удаленный доступ к командной оболочке. Питоновская версия трояна, известная как PyNightShade, демонстрирует минимальный уровень обнаружения антивирусными решениями, что повышает ее скрытность.
В середине 2025 года система Darktrace обнаружила подозрительную активность в сети американской организации. Устройство установило соединение с IP-адресом 173.44.141[.]89, который ранее не наблюдался в этой сети. Последующий анализ показал, что данный адрес является известным индикатором компрометации, связанным с операциями TAG-150. С этого адреса были загружены два скрипта, содержащие встроенный шелл-код для выполнения произвольного кода непосредственно в памяти.
Обнаруженное устройство также демонстрировало аномально высокую активность внутренних подключений, что характерно для сканирования сети и разведки инфраструктуры. Система Darktrace коррелировала эти поведения и активировала модель усиленного мониторинга, которая предназначена для обнаружения ранних стадий атаки. Благодаря настроенному модулю автономного реагирования, система заблокировала дальнейшие подключения к вредоносному endpoint и ограничила поведение устройства, предотвратив эскалацию атаки.
Распространение моделей MaaS и возможность кастомизации инструментов значительно усложняют задачи профилактики вторжений. Многие злоумышленники теперь используют модульные наборы инструментов, динамическую инфраструктуру и целевые полезные нагрузки для обхода статических средств защиты. В данном случае технология автономного реагирования позволила заблокировать IP-адрес CastleLoader доставки вредоносного ZIP-архива, остановив атаку до ее развития и защитив организацию от потенциально разрушительного многоэтапного компрометации.
Эксперты отмечают, что подобные случаи подчеркивают важность поведенческого анализа и возможностей автономного реагирования в современных условиях, когда традиционные сигнатурные методы часто оказываются неэффективными против развитых угроз. Непрерывный мониторинг и оперативное реагирование становятся критически важными элементами комплексной стратегии безопасности.
Индикаторы компрометации
IPv4
- 173.44.141.89
URLs
- 173.44.141.89/service/download/data_5x.bin
- 173.44.141.89/service/download/data_6x.bin
