近年来,网络威胁呈现出复杂多变的发展态势,恶意软件不断被改进和升级以规避安全防御。TAG-150作为一个活跃的网络威胁组织,自2025年3月起开始活跃,其研发的CastleLoader恶意软件框架已经在网络犯罪领域引发广泛关注。近期,TAG-150更进一步开发了名为CastleRAT的远程访问木马程序(RAT),并分别用Python和C语言实现,极大地扩大了其恶意软件的攻击面和功能。CastleRAT作为CastleLoader家族中的重要成员,其主要职责是采集目标系统信息、下载并执行更多恶意负载、通过CMD与PowerShell进行命令执行,从而为黑客提供远程控制权限。Recorded Future的Insikt Group在分析中指出,CastleRAT具备完整的远程操作功能,使得攻击者能够几乎不受限制地操控感染主机。CastleLoader最初由瑞士网络安全公司PRODAFT于2025年7月揭示,当时它已成为分发各种恶意软件的工具,例如DeerStealer、RedLine信息窃取器、NetSupport RAT和SectopRAT等。
后续IBM X-Force的分析又发现,CastleLoader更通过SEO投毒和伪装成合法软件的GitHub仓库传播如MonsterV2和WARMCOOKIE等新型恶意软件。感染CastleLoader通常始于"ClickFix"钓鱼攻击,这种攻击利用模仿Cloudflare主题的域名,伪装成软件开发库、在线会议平台、浏览器更新提示甚至文档验证系统,诱骗用户点击恶意链接。TAG-150采用多层级基础设施部署,分布包括面向受害者的第一层命令与控制服务器(C2),以及第二层和第三层主要为虚拟私人服务器(VPS),第四层为备份服务器,构筑了稳固的指挥控制网络。CastleRAT不仅能够下载后续载荷,开启远程Shell命令,还支持自我删除功能,展现出较高的隐蔽性和灵活性。一个非常有趣的特征是,CastleRAT会利用Steam社区的用户资料作为"垃圾箱"解析器,间接定位其真正的C2服务器地址,比如"programsbookss[.]com",这种设计有效隐匿了攻击者的真实服务器信息。CastleRAT的Python版本也被称为PyNightshade,此外北美安全公司eSentire将其识别为NightshadeC2。
两者虽具相似功能,但C语言版本拥有更强大的能力,除了基本的远程指令执行外,还支持键盘记录、屏幕截图、文件上传下载,乃至作为加密货币钱包地址劫持器,实时替换用户复制的数字钱包地址,诱导资金转移到攻击者控制的账户。CastleRAT利用广泛滥用的IP地理定位服务ip-api[.]com来获取感染主机的公共IP详细信息。C语言版本曾经采集诸如城市、邮编及该IP是否属于VPN、代理或TOR节点等敏感信息,但最新版本已移除部分定位字段,暗示开发者持续优化,不断调整防御检测策略。eSentire对白夜夜(NightshadeC2)的深入研究表明,该恶意工具通过.NET加载器发起攻击,巧妙运用UAC权限提示炸弹技术(UAC Prompt Bombing)绕过Windows安全保护。加载器会以循环方式执行PowerShell命令,持续尝试将恶意代码加入Windows Defender的白名单排除项。若添加操作成功,退出代码为0,Loader即刻执行载荷,否则无休止循环尝试,迫使用户不断批准权限请求。
此手法不仅令受害系统安全机制疲于应付,还让许多恶意软件分析沙箱陷入无尽执行,从而极易规避自动检测。目前尚不清楚TAG-150的恶意工具如何传播及授权给其他网络犯罪集团,因为市场上并无明显的暗网广告,推测可能存在封闭的高级联营渠道。CastleRAT的问世展现出TAG-150倾向构建一条从初始入侵到多级载荷实现的完整恶意工具链,不仅能提升销售订阅价值,也便于快速响应和调整攻击策略。这突出反映出当前网络犯罪活动的目标正逐渐从零散工具向高度集成的多功能平台转变。与此同时,市场也在出现其他类似的恶意软件项目,比如由Hunt.io报道的TinyLoader,它通过USB驱动、网络共享及伪装快捷方式传播,安装包括Redline Stealer和DCRat在内的窃密载荷,且具备监测和替换加密货币钱包地址的功能。随着恶意软件层出不穷,网络安全防护面临空前挑战。
近来还出现了针对Windows平台的高级键盘记录器TinkyWinkey,以及Python语言编写的信息窃取器Inf0s3c Stealer,后者在系统信息收集和进程枚举上表现优异,与Blank Grabber和Umbral-Stealer有明显代码相似,暗示他们可能来自同一作者。TinkyWinkey凭借持久的服务执行机制和低级键盘钩子技术,在窃取敏感数据方面同样具备极高的效率。针对CastleLoader和CastleRAT所展现的复杂攻击架构,企业和个人用户需提高警惕。务必做到及时更新防病毒软件,谨慎处理来自电子邮件或社交网络的可疑链接,并关注官方安全通报。增强多因素认证、限制进程权限和定期进行安全审计,是抵御此类高级持续性威胁(APT)的关键措施。未来,TAG-150及类似组织的活动可能更趋隐蔽和智能,结合人工智能工具优化攻击手段,网络安全圈的防御压力无疑将持续升级。
唯有深化威胁情报共享、强化跨行业协作,方能有效扼制这类高危恶意软件的传播与危害。持续关注CastleRAT与CastleLoader相关的动向,是安全研究人员和防御团队准备应对新一代网络攻击的必修课。 。
