Главная страница » Индикаторы компрометации
0
10 дней
Индикаторы компрометации

От CastleLoader к CastleRAT: Группа TAG-150 наращивает мощности с помощью многоуровневой инфраструктуры

APT

Эксперты Insikt Group, исследовательского подразделения компании Recorded Future, идентифицировали новую угрозу - группу злоумышленников под условным обозначением TAG-150, активную как минимум с марта 2025 года. Группа демонстрирует быстрые темпы развития, техническую изощренность, реакцию на публикации в открытых источниках и обладает обширной, постоянно развивающейся инфраструктурой. Деятельность TAG-150 представляет серьезную угрозу, поскольку группа развернула несколько, вероятно, самостоятельно разработанных семейств вредоносного программного обеспечения, начиная с загрузчиков CastleLoader и CastleBot и заканчивая недавно обнаруженным трояном удаленного доступа (Remote Access Trojan, RAT), впервые документированным здесь и получившим название CastleRAT.

Описание

Инфраструктура, связанная с TAG-150, отличается сложной многоуровневой архитектурой. Она включает компоненты первого уровня (Tier 1), обращенные к жертвам, такие как IP-адреса и домены, используемые в качестве командных серверов (Command-and-Control, C2) для нескольких семейств вредоносного ПО, а также инфраструктуру более высоких уровней (Tier 2, Tier 3, Tier 4), состоящую из нескольких слоев. Заражения чаще всего инициируются через фишинговые атаки по схеме «ClickFix», имитирующие уведомления Cloudflare, или через поддельные репозитории на GitHub, маскирующиеся под легитимные приложения. Жертвы обманом вводятся в заблуждение и самостоятельно выполняют на своих устройствах вредоносные команды PowerShell, что и приводит к компрометации.

Помимо собственной инфраструктуры, группа с высокой степенью вероятности использует ряд сторонних сервисов для своих операций. К ним относятся файлообменные платформы, такие как temp[.]sh и mega[.]nz, сервис для обхода обнаружения Kleenscan (kleenscan[.]com), криптовалютный обменник simpleswap[.]io, сеть Oxen (ранее Lokinet) для защищенных коммуникаций, а также, вероятно, Exploit Forum. Анализ сетевой активности указывает на возможное использование мессенджера Tox для внутреннего общения.

Важным открытием стало обнаружение нового вредоносного ПО - CastleRAT. Этот троянец удаленного доступа существует в вариантах, написанных на Python и C, и обладает базовым функционалом для сбора системной информации, загрузки и выполнения дополнительных полезных нагрузок, а также выполнения команд через CMD и PowerShell. C-вариант обладает расширенными возможностями, включая кейлоггинг (перехват нажатий клавиш), захват экрана и кражу данных из буфера обмена. Оба варианта находятся в активной разработке, и недавно в них была добавлена функция использования страниц Steam Community в качестве механизма для скрытого получения команд (dead drop resolving).

В ходе расследования также была выявлена возможная связь TAG-150 с известной группировкой, распространяющей программу-вымогатель (ransomware) Play. Было зафиксировано, что IP-адрес, связанный с жертвой Play Ransomware, осуществлял сетевую эксфильтрацию данных на WarmCookie C2-сервер, который, в свою очередь, связан с панелью управления CastleLoader TAG-150. Хотя прямая цепочка заражения не была полностью восстановлена, это совпадение позволяет предположить, что вымогатели Play или их аффилированные лица могли использовать инструменты TAG-150 для первоначального доступа.

Для защиты от угроз, связанных с TAG-150, эксперты рекомендуют специалистам по безопасности предпринять ряд мер. Необходимо блокировать IP-адреса и домены, связанные с загрузчиками, инфостилерами (information stealers) и троянами группы, помечать и потенциально блокировать подключения к необычным интернет-сервисам, таким как Pastebin, а также развертывать обновленные правила обнаружения (YARA, Snort) для выявления текущих и прошлых инфекций. Другие меры контроля включают внедрение фильтрации электронной почты и мониторинга эксфильтрации данных. В долгосрочной перспективе аналитикам следует continuously мониторить киберпреступную экосистему на предмет новых угроз и соответствующим образом адаптировать средства защиты.

По оценкам Insikt Group, группа TAG-150 будет и дальше стремительно развивать свой инструментарий, делая особый акцент на скрытность и уклонение от обнаружения. Уже продемонстрировав техническую изощренность и адаптивность, группа, вероятно, продолжит экспериментировать с анти-детект сервисами и техниками, чтобы оставаться устойчивой к защитным мерам. Учитывая историю развертывания нескольких собственных семейств вредоносного ПО, высока вероятность того, что в ближайшем будущем TAG-150 разработает и выпустит дополнительные образцы.

Индикаторы компрометации

IPv4

  • 104.225.129.171
  • 107.158.128.45
  • 107.158.128.90
  • 138.68.250.216
  • 144.208.126.50
  • 170.130.165.112
  • 170.130.165.37
  • 173.232.146.90
  • 173.44.141.89
  • 176.126.163.56
  • 180.178.189.17
  • 185.149.146.118
  • 185.196.10.8
  • 185.212.47.84
  • 185.219.220.128
  • 185.93.89.56
  • 192.36.57.164
  • 194.26.29.44
  • 195.201.108.189
  • 195.85.115.44
  • 213.209.150.229
  • 217.12.206.21
  • 34.72.90.40
  • 45.141.84.229
  • 45.32.69.11
  • 45.61.136.81
  • 62.60.226.211
  • 62.60.226.254
  • 62.60.226.73
  • 79.132.130.142
  • 80.77.23.48
  • 83.222.191.98
  • 85.158.108.135
  • 91.212.166.17
  • 92.255.57.32
  • 94.141.122.164
  • 94.159.113.123

IPv4 Port Combinations

  • 102.135.95.102:7777
  • 104.225.129.171:443
  • 144.208.126.50:443
  • 178.17.57.102:80
  • 180.178.189.17:33338
  • 180.178.189.17:443
  • 185.125.50.125:7777
  • 185.149.146.118:33336
  • 185.196.10.8:7777
  • 185.196.9.222:7777
  • 185.196.9.80:7777
  • 185.208.158.250:7777
  • 195.201.108.189:33336
  • 195.85.115.44:443
  • 34.72.90.40:443
  • 45.11.180.174:6666
  • 45.11.180.174:80
  • 45.11.180.198:7777
  • 45.144.53.62:7777
  • 45.61.136.81:80
  • 5.35.44.176:443
  • 77.238.241.203:7777
  • 77.90.153.43:7777
  • 79.132.131.200:7777
  • 85.192.49.6:7777
  • 85.208.84.115:7777
  • 87.120.93.167:7777
  • 91.202.233.250:80
  • 91.212.166.17:33334
  • 94.141.122.164:33336
  • 94.141.122.164:33337

Domains

  • bytehub.asia
  • cisco-webexxapp.xyz
  • estetic-online.com
  • higueruela.net
  • lekuvam.com
  • mhousecreative.com
  • notionus.org
  • oneyogasite.com
  • panelv1.hostingzealoft.today
  • polarcompany.org
  • programsbookss.com
  • rinasalleh.com
  • sftp.sagargolf.com
  • teamsi.org
  • teamsio.com
  • teamsoftdigital.com
  • vilaoaza.com

URLs

  • https://pastebin.com/raw/2wW91Tby
  • https://pastebin.com/raw/2wW91TbyCastleLoader
  • steamcommunicty.com/id/tfy5d6gohu8tgy687r7
  • steamcommunity.com/id/desdsfds34324y3g
  • steamcommunity.com/id/huilo
  • steamcommunity.com/id/krouvhsin34287f7h3
  • steamcommunity.com/id/tfy5d6gohu8tgy687r7

SHA256

  • 007f031d4ba5f964136fe73615f524eccdeced5cd7573c281bc1455d5cab2ff6
  • 05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8
  • 0fd7eb57f5f9d817dd497c1ce3be0791f5e798077f8dc2c3a4e2b2b0b0bdc2c6
  • 13a5c1a535c161fd2724423dad1dfa6885c705713569d4ed4f2ebf900df25ed7
  • 18e535d4a641821c4c212b30d79fcebf3fd42d9831972b40dc262b614a08d114
  • 1bb10490d6f13e80d874896428908f6b5758b9722b959841c369c6ddc435230e
  • 1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75
  • 25e0008aba82690e0f58c9d9fcfbc5d49820aa78d2f7bfcd0b85fb969180fc04
  • 282fa3476294e2b57aa9a8ab4bc1cc00f334197298e4afb2aae812b77e755207
  • 2fcb76dfdfcd390658bbc032faafef607804d5d4a2f1c0005f274ab2e06d8af4
  • 39b40746de01af66c0e5ce5888df4c42e474adcdb4301275b1474423d7a0ff1f
  • 3dd877835c04fde3f2d14ce96f23a1c00002fefa9d731e8c4ce3b656aac90063
  • 401b0eb132cacd6e32d4b4af627370288f9f3e59af36ccfd43a501564937f93c
  • 4cef6738ef175fa988e9867ca19d2a12f1bf55d2cab07246010833fdb0f4d0f0
  • 4ef63fa536134ad296e83e37f9d323beb45087f7d306debdc3e096fed8357395
  • 53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df
  • 53dddae886017fbfbb43ef236996b9a4d9fb670833dfa0c3eac982815dc8d2a5
  • 58d54e2454be3e4e9a8ea86a3f299a7a60529bc12d28394c5bdf8f858400ff7b
  • 5a741df3e4a61b8632f62109a65afc0f297f4ed03cd7e208ffd2ea5e2badf318
  • 60125159523c356d711ffa1076211359906e6283e25f75f4cf0f9dc8da6bf7b0
  • 6444f0e3f78254aef663837562d258a2236a77f810ee8d832de7d83e0fdd5783
  • 65493c28b5991bb8e73d1ceb94b3633137542c422ffc5dfd90801909dd475d58
  • 66aac2857eee73b1f5f715214bb50a03c0dc052d4bb3e64d6b0b492f2c85f374
  • 67cf6d5332078ff021865d5fef6dc61e90b89bc411d8344754247ccd194ff65b
  • 6d62210addb8268d0bd3e6ef0400d54c84e550ccad49f5867fdc51edc0c1db2c
  • 7a682be245a2e51f473ee1c60d537e57423ab2c3d9ae990445cdb6e43aeb5c76
  • 7e0d097412ca8c3acdbaaa7c1f79c42cda3a4e50b52c0a8b34d6c75cc764ce42
  • 85b4d29f2830a3be3a0f51fbe358bea1a35d2a8aaa6a24f5cc1f2e5d2769716e
  • 88d16948e8cf885d475bc44afa477d2f5b38721e32248425a9e5429c48a4af26
  • 8b7c1657f4d5cf0cc82d68c1f1a385adf0de27d46fc544bba249698e6b427856
  • 94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a
  • 963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d
  • 9d356492e433e068c5e71f73638180e3f6a5d992e55ad496a8dafa5174e0a827
  • a2feb262a667de704e5e08a8a705c69bbcc806e0d52f0f8e3f081a6aa6c8d7b4
  • a67027c3dec4fc4a5a09c68950f494f631ee6aa42b85dd82d74c5b5399d08d19
  • a97ff41736299857a3cae7c1917456eef5e0fcc703d0a1e475d0b9cfe42452c7
  • ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
  • Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d
  • b0b24ff78ab1c4322764bcb332254069504b168cb8aaca469bdf1d37f313d4d3
  • bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890
  • c2054617b8dcb619749c0402dc31eeb473386b3829f17176bc27b1447a8b6d92
  • ce6a7af556090b3ff762e27058be2327e6c5188d6ed54703d794089f577fd20c
  • d51f81ee026df39447143b67eaf16326c30e0c9477c0d50507f1fbfffe53abd6
  • e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b7
  • e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85
  • e6bcdf375649a7cbf092fcab65a24d832d8725d833e422e28dfa634498b00928
  • f0e1963efa5bfa96ae1a1e370fa2c70a044a03279f2fdbf07391c7e08e295e93
  • f2e36ccfeb225009ae229a2be905deff587c471b8d47690dc7f5111e1bc611af
  • f2ff4cbcd6d015af20e4e858b0f216c077ec6d146d3b2e0cbe68b56b3db7a0be
  • f4bdea09e45471612689bd7d76aa5492fb9de69582d3cf5082d585c16e340d4c
Комментарии: 0
Похожие записи
0
09.09.2025
Индикаторы компрометации

Operation Overload наращивают давление на Молдову перед ключевыми парламентскими выборами

information security
Сентябрьские парламентские выборы 2025 года в Молдове стали мишенью для масштабной кампании информационного влияния. Согласно данным аналитиков Insikt Group, несколько взаимосвязанных операций нацелены
0
14.06.2025
Индикаторы компрометации

GrayAlpha атакует через фейковые обновления и загрузочные страницы: PowerNet и NetSupport RAT в действии

APT
Эксперты Insikt Group обнаружили новую инфраструктуру, связанную с угрозой GrayAlpha - группой, пересекающейся с финансово мотивированным коллективом FIN7. В ходе расследования выявлены домены, используемые
0
30.04.2025
Индикаторы компрометации

MintsLoader: загрузчик обходит песочницы и виртуальные машины

security
MintsLoader - вредоносный загрузчик, сперва обнаруженный в 2024 году в фишинговых кампаниях. Он действует через многоступенчатые цепи заражения с использованием алгоритмов обфускации JavaScript и PowerShell.