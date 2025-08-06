تعمل IBM X-Force على التحقيق في إطار برمجي ضار ناشئ حديثًا باسم CastleBot. يُعتقد أن هذا البرنامج الضار جزء من عملية برامج ضارة كخدمة، وقد صُمم خصوصًا لنشر البرمجيات الضارة بمرونة عالية. يُستخدم CastleBot حاليًا من قِبل المجرمين الإلكترونيين لتسليم كل شيء بدءًا من أدوات سرقة المعلومات وحتى الأبواب الخلفية مثل NetSupport وWarmCookie، والتي ارتبطت بهجمات برامج الفدية.
ما يجعل CastleBot مقلقًا بشكل خاص هو طريقة توزيعه، وغالبًا ما يكون ذلك عبر مثبِّتات برامج مخترقة يتم تنزيلها من مواقع مزيفة، ما يدفع المستخدمين غير الحذرين إلى إطلاق العدوى بأنفسهم. هذه التقنية هي جزء من التوجُّه المتزايد الذي تلاحظه X-Force. غالبًا ما يتم تفعيله عبر تسميم تحسين محركات البحث، ما يجعل الصفحات الضارة تأتي في مرتبة أعلى في محركات البحث مقارنةً بموزِّعي البرامج الشرعيين. بمجرد دخوله، يعمل CastleBot عبر عملية من ثلاث مراحل: عنصر تمهيدي/أداة تنزيل، ثم أداة تحميل، يليه الباب الخلفي الأساسي الذي يطلب مجموعة من المهام من خادم القيادة والسيطرة (C2). تُتيح المعلومات التي يتم جمعها من الجهاز المصاب للمشغِّلين تصفية الضحايا بسهولة، وإدارة الإصابات الجارية، ونشر البرامج الضارة على أهداف عالية القيمة بدقة.
لا يزال CastleBot في طور التطور، وأبحاثنا تشير إلى أنه على الأرجح قد بدأ للتو. في هذا التقرير، نشرح كيفية عمله، وطريقة انتشاره، وأسباب أهميته.
ظهر CastleBot لأول مرة في أوائل عام 2025. لاحظت X-Force زيادة في حجم العينات والحمولة المختلفة بدءًا من مايو، ومنذ ذلك الحين لاحظت نشر حمولات خلفية وسرقة معلومات مختلفة. أكثر طرق الإصابة شيوعًا في CastleBot هي البرامج الضارة، وهو جزء من اتجاه لاحظته X-Force منذ عام 2024. غالبًا ما يتم توزيع حِزم ومثبِّتات البرامج المخترقة عبر مواقع وهمية باستخدام تسمم تحسين محركات البحث لجذب الضحايا. تم توزيع CastleBot أيضًا عبر مستودعات GitHub، مقلدًا برامج شرعية، ومن خلال تقنية ClickFix الشهيرة.
حدّدت X-Force ثلاثة عناصر ضمن إطار برمجيات CastleBot الضارة: عنصر تمهيدي، وعنصر تحميل، والنواة/الباب الخلفي لـ CastleBot.
لاحِظ أن التقارير العامة السابقة من Prodraft تُشير إلى نفس إطار البرمجيات الضارة تحت اسم “CastleLoader”.
في معظم الحالات، يتم نشر عنصر CastleBot الأساسي عبر عنصر تمهيدي من نوع Shellcode، وهو جزء من نفس عائلة برمجيات CastleBot الضارة. يُعَد العنصر التمهيدي حمولة خفيفة من الشيل كود يمكن حقنها بواسطة أي عنصر تحميل من المرحلة الأولى. رصدت X-Force استخدام عدة أدوات تشفير مع CastleBot، من بينها Dave، وهو أداة تشفير تعتمد على AutoIt، بالإضافة إلى وحدات تشفير بسيطة مجمَّعة بلغة C.
يستخدم البرنامج الضار خوارزمية التجزئة DJB2 لتحديد واجهات برمجة التطبيقات اللازمة أثناء التشغيل. قبل كل استدعاء لواجهة برمجة التطبيقات، يقوم بتحميل ملف DLL المقابل ويفرّغ جدول عناوين التصدير (EAT) بحثًا عن دالة واجهة برمجة التطبيقات باستخدام تجزئات DJB2 التي تم توليدها مسبقًا. إذا تمت إعادة توجيه التصدير إلى DLL آخر، يعمل العنصر التمهيدي (ٍStager) بتحليل اسم الـ DLL، ثم تحميله وتحديد الدالة باستخدام GetProcAddress.
عند التشغيل، يقوم العنصر التمهيدي بتنزيل حمولة مزدوجة عبر بروتوكول HTTP مستخدمًا وكيل المستخدم Googlebot. مسارات الروابط متشابهة بين العينات وتُشير إلى خادم التحكم والسيطرة نفسه المستخدم من عنصر CastleBot الأساسي.
أمثلة على روابط URL للتنزيل:
http://173.44.141[.]89/service/download/data_3x.bin
http://173.44.141[.]89/service/download/data_4x.bin
يتم فك تشفير كِلتا الحمولتين باستخدام سلسلة XOR ثابتة مضمّنة داخل الشيفرة، وهي هنا GySDoSGySDoS (مشفرة بـ UTF-16)، ما يكشف عن ملف PE يمثل العنصر الأساسي لـ CastleBot، بالإضافة إلى جزء shellcode يمثِّل CastleBot Loader.
بعد ذلك يستخدم العنصر التمهيدي وظيفة VirtualProtect لتمكين التنفيذ على الذاكرة المكدَّسة للمنطقة التي تحتوي على حمولة الشيل كود الثانية بعد فك تشفيرها. أمّا الأخيرة، التي تعمل كمحمِّل، فيتم تنفيذها مباشرة داخل الذاكرة وتتلقى مؤشرًا إلى ملف PE المفكَّك كوسيط.
تعمل CastleBot Loader كمحمِّل PE متكامل، يبدأ بعملية تعيين كل قسم من ملف PE المُقدَّم داخل منطقة ذاكرة جديدة يتم تخصيصها باستخدام NtAllocateVirtualMemory. ويستمر بعدها في معالجة عمليات إعادة النقل اللازمة، وحلّ الواردات، وضبط خيارات حماية الذاكرة المناسبة، وتنفيذ وظائف استرجاع TLS الموجودة.
ومن الجدير بالذكر أن المحمّل يُنشئ أيضًا بنية LDR_DATA_TABLE_ENTRY جديدة مع البنية المقابلة LDR_DDAG_NODE (الموسَّعة في Windows 8 وما بعده)، ثم يضيفهما إلى القوائم المزدوجة الارتباط ضمن PEB_LDR_DATA التي تحتوي على الوحدات المحمَّلة لكل عملية. بالنسبة لعوامل EDR التي تراقب برنامج PEB، يجعل هذا الحمولة التي تم حقنها تبدو كما لو أنها جرى تحميلها بشكل شرعي بواسطة نظام التشغيل.
ما لم يكن الملف الذي تم حقنه عبارة عن DLL، يتم أيضًا ضبط حقل ImageBaseAddress في PEB ليشير إلى العنوان الأساسي للحمولة التي تم حقنها.
وأخيراً، لتنفيذ الحمولة، يقوم CastleBot Loader بتنفيذ نقطة الدخول أو تخصيص وحدة تحكم جديدة لتطبيقات وحدة التحكم.
في العينة التي تم تحليلها أعلاه، فإن الحمولة التي تم حقنها هي x86 CasselBot Backdoor (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04).
تستخدم نواة CastleBot الأساسية نفس آلية حل واجهة برمجة التطبيقات مثل عنصر المكدِّس والمحمِّل، باستثناء خوارزمية التجزئة، وهي تجزئة AP، التي طورها Arash Partow.
يبدأ backdoor أولًا بفك تشفير إعداداته. يتم تخزين معظم السلاسل النصية داخل الملف التنفيذي، بما في ذلك ما يخص الإعدادات، بصيغة UTF‑16، ويتم فك شفرتها ضمنيًا باستخدام مفتاح XOR فريد مكوّن من 4 بايتات لكل سلسلة. أثناء فك التشفير، يتم إنشاء بنية التكوين التالية:
يحاول البرنامج الضار إنشاء قفل تبادلي، باستخدام الاسم من التكوين، لضمان تشغيل نسخة واحدة فقط. في الخطوة التالية، يرسل طلب HTTP GET إلى عنوان URL المشفّر لاسترداد إعداداته، باستخدام معرِّف الحملة في مسار عنوان URL:
ردًا على ذلك، يتلقى CastleBot كتلة من البيانات المشفرة.
يتم تشفير جميع اتصالات C2 عبر خوارزمية ChaCha المتماثلة، باستثناء طلب GET الأوَّلي للبرنامج الضار. بعد فك التشفير، يستخدم بروتوكول C2 هيكل بيانات مخصص متسلسل، يُشار إليه داخليًا باسم الحاوية، والذي يمكنه تخزين قِيم من أنواع مختلفة.
يوجد دائمًا في جذر بنية البيانات المتسلسلة حقل من النوع ContainerFieldArray. توضِّح الهياكل أدناه بشكل أكبر كيفية إعداد أنواع المصفوفات والقيم المنطقية:
عند تحليل الحاوية التي تم فك تشفيرها والتي تحدِّد الإعدادات المطلوبة من قبل الباب الخلفي، تبدأ البيانات بالبايت 0x0D، ما يشير إلى النوع ContainerFieldArray.يتَّبع ذلك البايت اسم الحقل، وهو نفسه طول البايت المزدوج متبوعًا بالاسم المشفر UTF-16. بعد الاسم، يحدِّد حقل المصفوفة طول البيانات المكوَّن من 4 بايت، يتبعه المحتوى نفسه، حيث يبدأ أول بايت فيه بتحديد النوع.
يتم تحليل الإعدادات التي تلقتها العينة التي تم تحليلها أعلاه على النحو التالي.
البيانات المتسلسلة:
كائن تم إلغاء تسلسله:
بالنسبة لكل إعداد مفعَّل، يتم تنفيذ الإجراءات التالية بواسطة CastleBot:
run_as_admin: سيقوم البرنامج الضار بتنفيذ العملية الأصلية عبر "cmd.exe /c" عبر ShellExecuteW باستخدام الفعل "runas" لتشغيله كمسؤول.
anti_vm: سيستخدم CastleBot تعليمة cpuid مع ورقة 0x40000000 لمحاولة اكتشاف بيئات المراقب الافتراضي. إذا تم اكتشاف VMware أو Parallels، فسيتم إيقاف البرامج الضارة.
prevent_restart: سيقوم CastleBot بإنشاء ملف مخفي جديد في %PROGRAMDATA% بالاسم المطابق لاسم mutex المضمن في التكوين. إذا كان الملف موجودًا بالفعل، فسيتم إيقاف البرامج الضارة.
show_fake_error: يعرض البرنامج الضار مربع رسالة "خطأ في النظام" مع الرسالة "The program can't start because VCRUNTIME140.dll is missing from your computer. Try reinstalling the program to fix this problem".
في الخطوة التالية، يجمع CastleBot المعلومات عن المضيف المصاب للتسجيل مع خادم C2 وطلب المهام.
يتم جمع المعلومات في الكائن أدناه، يلي ذلك عملية التسلسل وفك تشفير ChaCha:
القيم المضمّنة داخل الشيفرة تشمل مفتاح الوصول (المطابق لوكيل المستخدم User-Agent من الإعدادات)، ومعرِّف الحملة، وإصدار بناء CastleBot، والذي هو "1.0" للعينة التي تم تحليلها.
يرسل الباب الخلفي البيانات المشفرة في طلب HTTP Post إلى
الاستجابة هي حاوية مشفرة أكبر تحمل مهام CastleBot التي تم تكوينها مسبقًا.
يتم فك تشفير الحاوية المستلمة من خادم C2 بواسطة نموذج CastleBot الذي تم تحليله من قِبل نموذج CastleBot الذي تم تحليله وإعادة تسلسله إلى كائن يحتوي على الحقول التالية:
حقل "tasks" هو نوع مخصص من المصفوفات كما هو موضَّح أعلاه، ويحتوي على مصفوفة واحدة على الأقل بلا اسم (طول الاسم صفر)، تمثِّل كل منها مهمة. قد يستقبل CastleBot أيضًا مصفوفة تحتوي على مهام متعددة يتم تنفيذها بالتتابع. تحتوي كل مهمة على معرِّف وعدة حقول تحدد كيفية تنفيذ المهمة، والتي يتم نسخها إلى بنية المهمة أثناء عملية فك التسلسل.
الحقل الأكثر أهمية في كل مهمة هو "launch_method"، الذي يحدد نوع الحمولة التي سيتعامل معها CastleBot.
طريقة الإطلاق
الحمولة
التنفيذ
1
ملف EXE تم تنزيله من عنوان URL
عبر CreateProcessW أو ShellExecuteW
2
تم تنزيل DLL من عنوان URL
عبر ShellExecuteW وrundll.exe
3
تم تنزيل DLL من عنوان URL
عبر LoadLibraryW
4
تم تنزيل PE من URL
يتم حقنها في عملية جديدة
5
أمر PowerShell في حقل "argument"
عبر ShellExecuteW
6
أمر BAT في حقل "argument"
عبر ShellExecuteW
يمكن استخدام الحقول الأخرى لتعيين خيارات محددة لتنفيذ المهمة:
اسم الحقل
الوصف
المعرِّف
معرّف مهمة فريد، يُستخدم للإبلاغ عن التنفيذ الناجح إلى خادم C2
url
عنوان URL لاسترداد الحمولة. غالبًا ما تتم استضافة الحمولات على خادم C2 على http://<castlebot_c2>/service/download/<payload_name>
install_path
المسار المستهدف لحقن العملية، والذي قد يحتوي على متغيرات البيئة، أو ببساطة ":SELF:" الذي يحقن الحمولة في نسخة مكررة من العملية الأصلية.
argument
المعطيات الخاصة بالعمليات في install_path، أو الأوامر المخصصة لتنفيذ PowerShell أو ملفات BAT
run_as_admin
إذا تم التعيين، ستستخدم عمليات التنفيذ عبر ShellExecuteW الفعل "runas".
startup_method
إذا تم ضبط القيمة على "1"، يتم إنشاء استمرارية للحمولة عبر مهمة مجدولة تم تنفيذها عند كل تسجيل دخول.
is_encrypted_container
في حالة التعيين، يتم فك تشفير الحمولة التي تم تنزيلها من عنوان URL وتحليلها كحاوية أخرى لاسترداد حمولة المهمة.
container_encryption_key
مفتاح RC4 المستخدم مع الحاوية المشفرة.
auto_unpack_zip
في حالة تعيينها، يتم التعامل مع الحمولة كملف ZIP ويتم استخراجها يدويًا.
zip_executable_files
قائمة بالملفات المستهدفة في أرشيف ZIP والتي يجب تنفيذها وفقًا لطريقة الإطلاق.
wow64_bypass
خيار تمت إضافته مؤخرًا، لتحديد ما إذا كان ينبغي تشغيل ملفات النظام بنواة 32‑بت بدلًا من ذلك.
يدعم CastleBot عملية الحقن البسيطة لأحمال PE. يبدأ بإنشاء عملية جديدة موقوفة مؤقتًا، استنادًا إلى حقلَي مسار التثبيت والمعطيات. لكي يعمل على Windows 11 24H2 وما بعده، اختار مطوّرو البرنامج الضار اعتراض وظيفة NtManageHotPatch ضمن NTDLL في الذاكرة لتجاوز فحص الذاكرة المُضاف حديثًا. راجع منشور Hasherezade للمزيد من التفاصيل، والذي يقدِّم أيضًا تنفيذ POC الدقيق المستخدم من قِبل CastleBot.
يتبع ما تبقّى من عملية الحقن الأساليب المعتادة، عبر تخصيص ذاكرة في العملية المستهدفة، ونسخ المقاطع داخل الذاكرة المؤقتة، وتعديل سياق المسار قبل استئناف التنفيذ.
إذا تم تعيين حقل طريقة البدء إلى "1"، يقوم CastleBot بإنشاء مهمة مجدولة لإرساء الاستمرارية. لتسجيل المهمة، يستخدم البرنامج الضار واجهة ITaskService COM للاتصال بخدمة Task Scheduler. يقوم بإنشاء مهمة جديدة وإجراء تنفيذ للحمولة المستهدفة، والتي يتم تشغيلها في كل مرة يقوم فيها المستخدم الحالي بتسجيل الدخول (TASK_TRIGGER_LOGON).
يتم التعامل مع كل مهمة في حاوية "المهام" بشكل متكرر وفقًا للحقول المحددة لها. بمجرد إتمام مهمة دون أخطاء، يُبلغ البرنامج الضار عن التنفيذ الناجح عبر طلب HTTP GET إلى:
رصدت X-Force نسخة محدَّثة من نواة CastleBot تدعم أساليب تشغيل جديدة، إضافةً إلى خيار باسم wow64_bypass، يُستخدم لتشغيل ملفات النظام ذات الإصدار 32-بت ضمن مجلد SysWOW64.
طريقة الإطلاق
الحمولة
التنفيذ
1
ملف EXE تم تنزيله من عنوان URL
عبر CreateProcessW أو ShellExecuteW
2
تم تنزيل DLL من عنوان URL
عبر ShellExecuteW وrundll.exe
3
تم تنزيل DLL من عنوان URL
عبر ShellExecuteW وregsrv32.exe
4
تم تنزيل DLL من عنوان URL
عبر LoadLibraryW
5
تم تنزيل PE من URL
تم حقنه في عملية جديدة عبر آلية قديمة
6
تم تنزيل PE من URL
تم حقنه في عملية جديدة عبر PE Loader
7
أمر PowerShell في حقل "argument"
عبر ShellExecuteW
8
أمر BAT في حقل "argument"
عبر ShellExecuteW
9
تم تنزيل MSI من URL
عبر ShellExecuteW وmsiexec.exe
يكتب تطبيق حقن العملية الإضافية (طريقة الإطلاق 6) كلًا من عنصر CastleBot Loader (انظر قسم التحليل أعلاه) بالإضافة إلى حمولة PE في العملية المستهدفة. ثم يستخدم QueueUserAPC وResumeThread لنقل التنفيذ إلى المحمِّل، الذي يقوم بتحميل حمولة PE بشكل صحيح في الذاكرة وتنفيذها.
تستخدم هذه التقنية عددًا أقل بكثير من استدعاءات واجهة برمجة التطبيقات WriteProcessMemory API وتوفِّر وظيفة تحميل أكثر اكتمالًا من جزء CastleBot Loader.
الهدف الرئيسي لـ CastleBot هو تمكين نشر الحمولات الثانوية على أجهزة الضحايا. كشفت X-Force عن العديد من الحمولات المختلفة التي تم توزيعها بواسطة CastleBot، وغالبًا ما كانت توزع حمولات متعددة في حملة واحدة. تختلف الحمولات في مستوى تعقيدها، بدءًا من أدوات سرقة المعلومات الشائعة ووصولًا إلى أبواب خلفية أكثر قدرة مثل NetSupport وWarmCookie، والتي ارتبطت بهجمات فدية.
يبدو أن إطار CastleBot كخدمة (MaaS) يتيح للمشغلين تصفية الأجهزة المصابة وتحديث الحمولات بسهولة لإدارة عدة حملات نشطة بمرونة عالية، وفقًا لتحليل Prodaft ولقطات شاشة لوحة التحكم C2. بفضل مرونة الحمولات وقدرة المشغِّل على إضافة مهام وحمولات متعددة إلى حملة واحدة، فإن سلاسل الإصابة في CastleBot أكثر تعقيدًا مقارنةً بمراحل البرامج الضارة الثابتة التقليدية.
لا تمتلك X-Force أي دليل على انتشار واسع لإعلانات خدمة MaaS على الشبكة الخفية، ما قد يشير إلى أن الخدمة تُباع حاليًا لمجموعة محددة من الشركاء فقط.
دون تعريف البرمجية لضارة كإطار عمل مستقل، تم الإبلاغ عن أجزاء مختلفة من الحملات المؤدية إلى NetSupport من قِبل باحثين آخرين في يونيو ويوليو 2025.
لاحظت DomainTools صفحات DocuSign مزيفة تستخدم تقنية ClickFix لتنفيذ برنامج PowerShell خبيث، والذي يقوم بدوره بتنزيل CastleBot لنشر NetSupport. حملة IoCs:
أفاد فريق Unit42 التابع لـ PaloAlto بنشاط مشابه مع مواقع تُحاكي DocuSign وOkta، تستخدم تقنية ClickFix لنشر CastleBot عبر عناصر التمهيد والتحميل الأولية. يتضمن تحليلًا جزئيًا لـ "NetSupport RAT Loader”، والذي تحدد X-Force أنه إطار عمل CastleBot. حملة IoCs:
إحدى الحمولات الأكثر إثارة للاهتمام في CastleBot هي الباب الخلفي WarmCookie (المعروف أيضًا باسم Quickbind، BadSpace). من المحتمل أن يكون جزءًا من منظومة أكبر للجرائم الإلكترونية يسمح بهجمات برامج الفدية وكان من بين عائلات البرامج الضارة التي استهدفتها أجهزة إنفاذ القانون الدولية بنجاح خلال عملية Operation Endgame في عام 2024. في السابق، قام عنصر التهديد Hive0137 بتوزيع WarmCookie عبر حملات بريدية ضارة، على الرغم من عدم ملاحظة أي نشاط مهم في 2025 وفقًا لرصد X-Force. يرتبط WarmCookie بشكل عام بعمليات TA866/Asylum Ambuscade.
بدأت الحملة التي رصدتها X-Force في يونيو بأرشيف ZIP مسلَّح يُحاكي مثبت برنامج شرعي SSMS-20.2-enu.zip (4766f5cc6501fc40c7151a0ce1c9d2cc49fca9b0b9cab2a206dd2426947e9afe). من بين العناصر الشرعية، يحتوي الملف على برنامج تنفيذي خبيث SSMS_Windows.x64.exe (05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8) تم تحديده كمتغيّر من Dave Loader، والذي يقوم بفك تشفير حمولة مخزَّنة ضمن موارده. بعد فك التشفير، يقوم Dave Loader بحقن الباب الخلفي CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04)، والذي يتلقى مهمة تنزيل وتنفيذ حمولة WarmCookie (5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4) من
يوجد خادم WarmCookie C2 في:
استخدمت عينة ثانية تم العثور عليها لاحقًا في يونيو برنامجًا تنفيذيًا مشابهًا، يُحاكي مثبِّت برنامج Zscaler باسم Zscaler-windows-4.4.0.379-installer-x64.exe (bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890). الملف الثنائي المجمَّع تلقائيًا بواسطة AutoIt هو محمِّل بسيط لرمز shellcode، يقوم بتنفيذ برنامج CastleBot المضمن، والذي بدوره يقوم بتنزيل نفس الملف الثنائي للباب الخلفي CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04).
تُشير نتائج تنفيذ العينة الأصلية لـ CastleBot في بيئة Sandbox إلى أن نفس الشريك قد يكون نشر حمولة StealC مع خادم C2 على العنوان "http://107.158.128[.]105/c91252f9ab114f26.php" خلال الحملة، إلا أن X-Force لم تتمكّن من استرجاع عينة منها.
تستخدم كلتا الحملتين معرّف الحملة "81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3".
بالإضافة إلى ذلك، يعمل فِريق X-Force على تتبُّع العديد من حملات CastleBot التي تقوم بتسليم مختلف برامج سرقة المعلومات. يدعم البرنامج الضار تنفيذ مهام تنزيل متعددة ضمن أي حملة، ما يؤدي إلى نشر عدة حمولات على نفس الجهاز. يقوم الملف التنفيذي AMD_Chipset_DriverOnly_DCH_AMD_Z_V1.2.0.105_20238.exe (e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85) بتحميل حمولة CastleBot core المضمّنة (b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2) من موارده وتنفيذها. تقع نقطة نهاية إعدادات خادم C2 عند
وقد تبيّن أنها ترسل ثلاث مهام منفصلة ضمن رسالة C2 واحدة، بحيث ينفّذ كلٌ منها نشر حمولة مختلفة.
كما اكتشفت X-Force حملات تستخدم SecTopRAT (المعروف أيضًا باسم ArechClient) وHijackLoader (المعروف أيضًا باسم Shadowladder) وMonsterV2 (المعروف أيضًا باسم Aurotun Stealer).
SecTopRAT وHijackLoader:
MonsterV2:
يُعَد CastleBot أحدث دليل على التحول في متجهات العدوى الأولية ضمن مشهد تهديدات الجريمة الإلكترونية. يتم توزيع الأبواب الخلفية وإطار العمل MaaS بشكل متزايد عبر مواقع وهمية كجزء من برامج حصار طروادة أو عبر تقنية ClickFix. خلال بضعة أشهر قصيرة منذ ملاحظة زائدة في نشاط CastleBot، أضاف المطورون بالفعل عدة ميزات جديدة، ومن المرجح أن يسعوا إلى مواكبة التكيف مع حلول EDR وأمن الشبكات. تُشير الأنشطة الحالية إلى أن عدة شركاء يستخدمون CastleBot لنشر كلٍّ من برامج سرقة المعلومات والأبواب الخلفية، ما قد يؤدي إلى حوادث فدية عالية التأثير.
يُنصح المدافعون بالبقاء يقظين تجاه التقنيات المذكورة في هذا التقرير واتخاذ الإجراءات المناسبة للحد من خطر الإصابة بـ CastleBot.
المؤشر
نوع المؤشر
السياق
http://173.44.141[.]89/service/
عنوان URL
رابط تنزيل العنصر الأساسي لـ CastleBot
http://173.44.141[.]89/service/
عنوان URL
رابط تحميل CastleBot Loader
http://173.44.141[.]89/service/
عنوان URL
خادم CastleBot C2
http://mhousecreative
عنوان URL
خادم CastleBot C2
http://80.77.23[.]48/service/
عنوان URL
خادم CastleBot C2
http://62.60.226[.]73/service/
عنوان URL
خادم CastleBot C2
http://107.158.128[.]45/service/
عنوان URL
خادم CastleBot C2
http://62.60.226[.]73/service/
عنوان URL
خادم CastleBot C2
202f6b6631ade2c41e4762e5
SHA256
نواة CastleBot الأساسية
a2898897d3ada2990e523b6
SHA256
تنزيل برنامج PowerShell النصي واستخراج أرشيف ZIP
d6eea6cf20a744f3394fb0c
SHA256
العنصر التمهيدي المشفر في CastleBot
http://mhousecreative[.]com
عنوان URL
عنوان URL لتنزيل NetSupport (13 مايو)
2a2cd6377ad69a298af55f2
SHA256
NetSupport ZIP payload
8b2ebeff16a20cfcf794e8f31
SHA256
تنزيل برنامج PowerShell النصي واستخراج أرشيف ZIP
cbaf513e7fd4322b14adcc34
SHA256
العنصر التمهيدي المشفر في CastleBot
05ecf871c7382b0c74e5bac
SHA256
ديف لودر
http: //17344.141 [.] 90 / service /
عنوان URL
عنوان URL لتنزيل WarCookie (6 يونيو)
5bca7f1942e07e8c12ecd9c80
SHA256
حمولة WarmCookie
170.130.165[.]112
IPv4
خادم WarmCookie C2
bf21161c808ae74bf08e8d7f83
SHA256
محمِّل AutoIt لمكوّن Stager الخاص بـ CastleBot
http://107.158.128[.]105/c9125
عنوان URL
خادم StealC C2
e6aab1b6a150ee3cbc721ac25
SHA256
محمِّل يحتوي على نواة CastleBot.
b45cce4ede6ffb7b6f28f75a0c
SHA256
نواة CastleBot الأساسية
https://google.herionhelpline
عنوان URL
عنوان URL لتنزيل Rhadamanthys (10 يوليو)
03122e46a3e48141553e7567
SHA256
حمولة المرحلة الأولى من Rhadamanthy
https://google.herionhelpline
عنوان URL
عنوان URL لتنزيل Remcos (10 يوليو)
12de997634859d1f93273e55
SHA256
حمولة Remcos
https://google.herionhelpline[.]com
عنوان URL
عنوان URL لتنزيل DeerStealer (10 يوليو)
c8f95f436c1f618a8ef5c49055
SHA256
حمولة DeerStealer
8bf93cef46fda2bdb9d2a426
SHA256
العنصر التمهيدي المشفر في CastleBot
http://107.158.128[.]45/service
عنوان URL
عنوان URL لتنزيل HijackLoader وSecTopRAT (5 يوليو)
4834bc71fc5d3729ad5280e4
SHA256
حمولة ZIP الخاصة بـ HijackLoader وSecTopRAT
53dddae886017fbfbb43ef2369
SHA256
العنصر التمهيدي المشفر في CastleBot
http://107.158.128[.]45/service
عنوان URL
عنوان URL لتنزيل MonsterV2 (10 يوليو)
ab725f5ab19eec691b66c37c715
SHA256
حمولة MonsterV2
