Bốn nhóm hoạt động tấn công riêng biệt đã được phát hiện sử dụng trình tải mã độc CastleLoader, củng cố nhận định trước đó rằng công cụ này được cung cấp cho các tác nhân đe dọa khác theo mô hình mã độc dưới dạng dịch vụ (MaaS).
Tác nhân đe dọa đứng sau CastleLoader đã được nhóm Insikt Group của Recorded Future đặt tên là GrayBravo, trước đây họ theo dõi nó với tên TAG-150.
GrayBravo được "đặc trưng bởi chu kỳ phát triển nhanh chóng, sự tinh vi về kỹ thuật, khả năng phản ứng với các báo cáo công khai và cơ sở hạ tầng mở rộng, không ngừng phát triển," công ty thuộc sở hữu của Mastercard cho biết trong một phân tích được công bố hôm nay.
Một số công cụ đáng chú ý trong bộ công cụ của tác nhân đe dọa này bao gồm một remote access trojan gọi là CastleRAT và một framework mã độc được gọi là CastleBot, bao gồm ba thành phần: một shellcode stager/downloader, một loader và một core backdoor.
CastleBot loader chịu trách nhiệm tiêm module cốt lõi, được trang bị để liên hệ với máy chủ command-and-control (C2) của nó nhằm truy xuất các tác vụ cho phép nó tải xuống và thực thi các payload DLL, EXE và PE (portable executable). Một số họ mã độc được phân phối qua framework này là DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE, và thậm chí cả các loader khác như Hijack Loader.
Bốn nhóm hoạt động tấn công
Phân tích mới nhất của Recorded Future đã phát hiện ra bốn nhóm hoạt động, mỗi nhóm hoạt động với các chiến thuật riêng biệt:
- Cluster 1 (TAG-160): Nhóm này nhắm mục tiêu vào lĩnh vực logistics bằng cách sử dụng các kỹ thuật phishing và ClickFix để phân phối CastleLoader (Hoạt động từ ít nhất tháng 3 năm 2025).
- Cluster 2 (TAG-161): Nhóm này sử dụng các chiến dịch ClickFix theo chủ đề Booking.com để phân phối CastleLoader và Matanbuchus 3.0 (Hoạt động từ ít nhất tháng 6 năm 2025).
- Cluster 3: Nhóm này sử dụng cơ sở hạ tầng mạo danh Booking.com kết hợp với ClickFix và các trang Steam Community làm dead drop resolver để phân phối CastleRAT thông qua CastleLoader (Hoạt động từ ít nhất tháng 3 năm 2025).
- Cluster 4: Nhóm này sử dụng malvertising và các mồi nhử cập nhật phần mềm giả mạo Zabbix và RVTools để phân phối CastleLoader và NetSupport RAT (Hoạt động từ ít nhất tháng 4 năm 2025).
Cơ sở hạ tầng đa tầng của GrayBravo
GrayBravo đã được phát hiện sử dụng cơ sở hạ tầng đa tầng để hỗ trợ các hoạt động của mình. Điều này bao gồm các máy chủ C2 cấp 1 hướng đến nạn nhân liên quan đến các họ mã độc như CastleLoader, CastleRAT, SectopRAT và WARMCOOKIE, cũng như nhiều máy chủ VPS có thể hoạt động như các bản sao lưu.
Các cuộc tấn công do TAG-160 thực hiện cũng đáng chú ý vì sử dụng các tài khoản gian lận hoặc bị xâm nhập được tạo trên các nền tảng khớp vận chuyển hàng hóa như DAT Freight & Analytics và Loadlink Technologies để tăng cường độ tin cậy của các chiến dịch phishing. Recorded Future cho biết, hoạt động này minh họa sự hiểu biết sâu sắc về các hoạt động trong ngành, mạo danh các công ty logistics hợp pháp, khai thác các nền tảng khớp vận chuyển hàng hóa và sao chép các thông tin liên lạc xác thực để tăng cường khả năng lừa đảo và tác động của chúng.
Được đánh giá với độ tin cậy thấp rằng hoạt động này có thể liên quan đến một nhóm không được quy kết khác đã nhắm mục tiêu vào các công ty vận tải và logistics ở Bắc Mỹ vào năm ngoái để phân phối nhiều họ mã độc khác nhau.
"GrayBravo đã mở rộng đáng kể cơ sở người dùng của mình, được minh chứng bằng số lượng ngày càng tăng của các tác nhân đe dọa và các nhóm hoạt động khai thác mã độc CastleLoader của nó," Recorded Future cho biết. "Xu hướng này làm nổi bật cách các công cụ kỹ thuật tiên tiến và thích ứng, đặc biệt từ một tác nhân đe dọa có danh tiếng như GrayBravo, có thể nhanh chóng phổ biến trong hệ sinh thái tội phạm mạng khi đã chứng minh được hiệu quả."
