Специалисты по кибербезопасности предупреждают о стремительном распространении CastleLoader, универсального загрузчика вредоносных программ, который с мая 2025 года успешно инфицировал 469 устройств. Основной целью атак стали организации в США, включая государственные учреждения. Зловред отличается высокой эффективностью, сложной многоступенчатой атакой и модульной архитектурой, позволяющей доставлять широкий спектр опасных нагрузок.
Описание
Согласно отчету исследовательской компании PRODAFT, CastleLoader демонстрирует тревожную эффективность: из 1634 зафиксированных попыток заражения успешными оказались 469 случаев. Это соответствует уровню инфицирования в 28.7%, что значительно выше средних показателей для подобных угроз. Такой успех объясняется изощренной тактикой социальной инженерии и эксплуатацией доверия к популярным платформам.
Фишинг и фальшивый GitHub: Изощренные векторы атаки
Основным методом проникновения CastleLoader является фишинговая техника ClickFix, часто маскирующаяся под сообщения от сервисов Cloudflare. Жертвы перенаправляются на поддельные домены, имитирующие:
- Библиотеки для разработчиков ПО.
- Платформы онлайн-встреч (например, Google Meet).
- Уведомления об обновлении браузеров.
На этих страницах пользователям демонстрируются фальшивые сообщения об ошибках или CAPTCHA-запросы. Обманутые жертвы копируют и выполняют через системную утилиту "Выполнить" (Windows Run) предоставленные злоумышленниками вредоносные команды PowerShell. Этот подход позволяет обходить традиционные системы безопасности, сфокусированные на защите электронной почты, так как инициатива исходит от самого пользователя.
Альтернативный вектор - создание поддельных репозиториев на GitHub. Один из примеров - репозиторий, выдававший себя за библиотеку SQL Server Management Studio (SSMS-lib). Разработчики, доверяя платформе GitHub, загружают и запускают вредоносные установщики, которые подключаются к управляющему серверу злоумышленников (C2).
Модульный дизайн и опасные нагрузки
Ключевая особенность CastleLoader - его модульность. После успешного внедрения лоадер загружает на устройство жертвы одну или несколько вторичных вредоносных программ, в зависимости от целей конкретной кампании. Среди идентифицированных нагрузок:
- Информационные стилеры: StealC, RedLine и DeerStealer, предназначенные для кражи учетных данных, данных браузеров (куки, история, сохраненные пароли) и криптовалютных кошельков.
- Удаленные троянцы (RAT): NetSupport RAT и SectopRAT, предоставляющие злоумышленникам полный удаленный доступ к зараженной системе для кражи данных, скрытого наблюдения и установки дополнительного ПО.
- Дополнительные лоадеры: HijackLoader, который может использоваться для дальнейшего расширения атаки и загрузки еще более опасных модулей.
Техническая сложность и управление атаками
Техническая изощренность CastleLoader проявляется в использовании комбинации PowerShell и скриптов AutoIT. После первоначального выполнения скрипт AutoIT загружает в память шелл-код, имитирующий DLL-библиотеку. Этот код использует хешированные имена DLL и API-функций для установления соединения с одним из семи идентифицированных командных серверов (C2).
Управление инфраструктурой и кампаниями осуществляется через веб-панель. Эта панель предоставляет операторам детальную телеметрию о жертвах (идентификаторы, IP-адреса, системные характеристики). Модуль "Delivery" служит для хранения полезных нагрузок с метаданными, а модуль "Tasks" обеспечивает точный контроль над распространением, включая географическое таргетирование и использование зашифрованных Docker-контейнеров. Кампании могут быть настроены на требование административных прав, проверку на наличие виртуальных машин (анти-VM) для усложнения анализа и отображение фальшивых ошибок для маскировки.
Координация угроз и целевые атаки
Исследователи отмечают перекрестные связи между кампаниями CastleLoader и DeerStealer, где оба лоадера распространяли HijackLoader. Это указывает на возможную координацию или общие ресурсы среди групп злоумышленников. Сетевая инфраструктура атак сложна: финальные полезные нагрузки часто загружаются с легитимных файлообменных сервисов и скомпрометированных веб-сайтов, что затрудняет блокировку и атрибуцию.
Наибольшую обеспокоенность вызывает целенаправленность атак. Более 400 устройств, идентифицированных как "критические цели", включают в себя компьютеры в организациях государственного сектора США. Аналитики компании PolySwarm классифицируют CastleLoader как серьезную развивающуюся угрозу для корпоративного и государственного секторов. Высокий процент успешных заражений, изощренные методы обхода защиты и способность доставлять широкий спектр деструктивных нагрузок делают его опасным инструментом в руках киберпреступников.
Эксперты настоятельно рекомендуют организациям, особенно государственным, усилить обучение сотрудников по распознаванию фишинга (особенно техники ClickFix), ужесточить политики выполнения скриптов (особенно PowerShell), внимательно проверять источники ПО даже на доверенных платформах вроде GitHub и внедрять многоуровневые системы защиты, включающие анализ поведения и контроль доступа к сети.
Индикаторы компрометации
MD5
- d195e39044641f3b1f74843318bca182
SHA1
- 6cc3c8c15e72d173c00421573378855baec3ceae
SHA256
- 05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8
ssdeep
- 49152:q2XHEQ+f38ZYjTgjU4bLOjV+2Mlst0f+ihmnlFiRR5QRJKgtMtcBtN6pEcbyz0Rq:Qf388TP4ejVlU+ymuRqPo1
TLSH
- 91068e30b60b8027dc9711b15a6ce7fac23dea250b7214d7e3d46b2d0d955c22b36b6e
