Một biến thể mã độc loader mới có tên CastleLoader đã xuất hiện như một mối đe dọa mạng đáng kể từ đầu năm 2025. Nó nhanh chóng phát triển thành một nền tảng phân phối cho nhiều loại mã độc đánh cắp thông tin (information stealer) và mã độc truy cập từ xa (RAT).
Kỹ thuật Tấn công và Lan truyền của CastleLoader
Phương thức Lừa đảo Tinh vi
Các tác nhân đe dọa sử dụng các chiến thuật lừa đảo tinh vi được phân loại theo T1566 và các phương pháp xâm nhập drive-by (lây nhiễm khi truy cập web) được phân loại là T1189. Chúng giả mạo các thư viện phần mềm hợp pháp, nền tảng họp trực tuyến như Google Meet, thông báo cập nhật trình duyệt, hoặc hệ thống xác minh tài liệu thông qua các kỹ thuật T1036.
Chiêu trò kỹ thuật xã hội này lừa nạn nhân thực thi các lệnh PowerShell độc hại (T1059.001) thông qua thao tác clipboard. Điều này giúp mã độc bỏ qua các biện pháp phòng thủ an ninh truyền thống bằng cách khai thác lòng tin của người dùng.
Hiệu quả Chiến dịch và Tác động
Trong khoảng thời gian hai tháng, bắt đầu từ tháng 5 năm 2025, các tác nhân đe dọa đã triển khai CastleLoader trên bảy máy chủ điều khiển và kiểm soát (C2) riêng biệt. Chiến dịch này đã ghi nhận 1.634 lần thử tải xuống, dẫn đến 469 trường hợp lây nhiễm thành công. Tỷ lệ chuyển đổi đạt 28,7%, cho thấy hiệu quả cao của chiến dịch.
Đặc biệt, các hoạt động này đã xâm phạm hơn 400 nạn nhân quan trọng, bao gồm cả các thực thể chính phủ Hoa Kỳ. Điều này thể hiện phạm vi tiếp cận mục tiêu và tiềm năng gây thiệt hại trên diện rộng của mã độc CastleLoader.
Các Vector Lây nhiễm Chính của Mã độc CastleLoader
Chiến dịch Lừa đảo Clickfix với Chủ đề Cloudflare
Trong vector phân phối chính, CastleLoader sử dụng các trang web lừa đảo Clickfix có chủ đề Cloudflare. Các trang này hiển thị thông báo lỗi giả mạo hoặc yêu cầu CAPTCHA, thúc đẩy người dùng sao chép và dán các tập lệnh PowerShell vào hộp thoại Windows Run (T1204.004).
Theo Báo cáo Catalyst, hành động này kích hoạt yêu cầu nền tới một endpoint PHP độc hại, ví dụ như /s.php?an=0, để điền mã obfuscated vào clipboard. Bạn có thể tham khảo thêm chi tiết về phân tích này tại Catalyst Report: Understanding current CastleLoader campaigns.
Khi được thực thi, tập lệnh sẽ tải xuống một kho lưu trữ ZIP từ một endpoint thứ cấp như /s.php?an=2. Sau đó, nó giải nén bằng System.IO.Compression.FileSystem và chạy một tập lệnh AutoIT (T1059.010) để tải shellcode vào bộ nhớ.
Shellcode này giải quyết các DLL và API được hash trước khi thiết lập giao tiếp C2 qua các giao thức web (T1071.001) để tìm nạp các payload bổ sung thông qua kỹ thuật truyền công cụ xâm nhập T1105.
Kho Lưu trữ GitHub Giả mạo
Một phương pháp thay thế liên quan đến việc sử dụng các kho lưu trữ GitHub giả mạo. Các kho này bắt chước các công cụ hợp pháp như SQL Server Management Studio, nơi các tệp thực thi độc hại (T1204.002) kết nối trực tiếp với máy chủ C2 để phân phối payload. Kỹ thuật này đã được quan sát trong các chiến dịch khác, ví dụ như được nêu trong báo cáo về việc khai thác GitHub của các tác nhân đe dọa.
Các Payload Thứ cấp và Mối liên hệ
Các Mã độc Phân phối
Tùy thuộc vào chiến dịch, nạn nhân có thể nhận được các mã độc thứ cấp bao gồm StealC, RedLine, NetSupport RAT, DeerStealer, HijackLoader, hoặc SectopRAT. Mỗi loại mã độc này được tùy chỉnh cho mục đích thu thập thông tin xác thực, truy cập backdoor, hoặc liên kết chuỗi loader tiếp theo.
Mối quan hệ với DeerStealer và Các Nhóm Tấn công
Sự trùng lặp với các chiến dịch DeerStealer, chẳng hạn như việc chia sẻ các mẫu HijackLoader (ví dụ: hash aafcf3fc0eb947759e1c97917a6533a4), cho thấy những nỗ lực phối hợp giữa các tác nhân đe dọa. Sự phối hợp này tăng cường khả năng phục hồi thông qua việc phân tán tên miền và sử dụng các container Docker được mã hóa.
Hoạt động và Quản lý C2 của Mã độc CastleLoader
Giao diện Quản trị CastleLoader
Bảng điều khiển C2 của CastleLoader, phiên bản 1.1 Alpha, hoạt động như một giao diện quản lý dựa trên web với các tính năng giống như MaaS (Malware-as-a-Service). Nó bao gồm các mô-đun để quản lý thống kê, lượt truy cập, cài đặt, phân phối, tác vụ và các chiến dịch.
Thu thập Thông tin Nạn nhân và Phân phối Payload
Phần cài đặt thu thập thông tin đo lường từ nạn nhân (T1005) như địa chỉ IP, user agent và chi tiết hệ thống. Điều này cho phép các nhà điều hành theo dõi các trường hợp lây nhiễm và kích hoạt việc thực thi lại payload.
Các mô-đun phân phối và tác vụ quản lý việc tải lên payload, nhắm mục tiêu địa lý và các tham số thực thi. Chúng bao gồm cả tính năng phát hiện anti-VM và leo thang đặc quyền. Trong khi đó, tính năng theo dõi lượt truy cập phân tích môi trường người dùng để tinh chỉnh các cuộc tấn công mạng.
Mặc dù có sự tinh vi, mã độc CastleLoader chưa xuất hiện trong các giao dịch trên diễn đàn ngầm, cho thấy khả năng đây là một dự án phát triển nội bộ của một nhóm.
Các Chỉ số Compromise (IOCs)
Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch của mã độc CastleLoader:
- Hash mã độc (HijackLoader mẫu liên quan):
aafcf3fc0eb947759e1c97917a6533a4
- Endpoint PHP độc hại:
/s.php?an=0/s.php?an=2
Phòng chống và Nâng cao Nhận thức
Tính linh hoạt của mã độc CastleLoader trong việc triển khai các stealer để đánh cắp dữ liệu và RATs để duy trì quyền truy cập nhấn mạnh vai trò của nó trong các hoạt động tội phạm mạng đa diện. Giao tiếp mạng của nó trải dài qua các dịch vụ hợp pháp để tránh bị quy kết.
Tính đến tháng 7 năm 2025, tỷ lệ lây nhiễm cao và việc tập trung vào các mục tiêu có giá trị cao nhấn mạnh sự cần thiết phải nâng cao nhận thức người dùng. Đồng thời, cần tăng cường giám sát clipboard và phân tích hành vi để chống lại các mối đe dọa mạng tập trung vào con người như vậy, góp phần củng cố bảo mật mạng tổng thể.
