Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

GrayBravo: кластеры CastleLoader, CastleRAT и масштаб MaaS

5 мин
Сложный злоумышленник GrayBravo, ранее отслеживавшийся как TAG-150, работает по модели вредоносное ПО как услуга (MaaS), предлагая разработку и развертывание нескольких семейств вредоносного ПО, прежде всего CastleLoader, CastleBot и недавно обнаруженный CastleRAT. Недавний анализ выявил четыре отдельных кластера активности, связанных с CastleLoader, каждый из которых использует собственные тактики, методы и процедуры (TTP) и имеет отличающиеся профили жертв — что указывает на адаптивность оператора и разветвлённую инфраструктуру. GrayBravo действует по принципу MaaS: разработка, поддержка и продажа готовых вредоносных инструментов третьим лицам. Такая модель позволяет злоумышленнику масштабировать влияние без необходимости лично запускать каждую кампанию, одновременно предоставляя покупателям набор инструментов для компрометации различных секторов. Аналитики выделили четыре отдельных кластера, каждый с уникальными особенностями: TAG-160 ориентирован преимущественно на компании логисти
Оглавление

Сложный злоумышленник GrayBravo, ранее отслеживавшийся как TAG-150, работает по модели вредоносное ПО как услуга (MaaS), предлагая разработку и развертывание нескольких семейств вредоносного ПО, прежде всего CastleLoader, CastleBot и недавно обнаруженный CastleRAT. Недавний анализ выявил четыре отдельных кластера активности, связанных с CastleLoader, каждый из которых использует собственные тактики, методы и процедуры (TTP) и имеет отличающиеся профили жертв — что указывает на адаптивность оператора и разветвлённую инфраструктуру.

Кто такой GrayBravo и модель MaaS

GrayBravo действует по принципу MaaS: разработка, поддержка и продажа готовых вредоносных инструментов третьим лицам. Такая модель позволяет злоумышленнику масштабировать влияние без необходимости лично запускать каждую кампанию, одновременно предоставляя покупателям набор инструментов для компрометации различных секторов.

Четыре кластера активности (обзор)

Аналитики выделили четыре отдельных кластера, каждый с уникальными особенностями:

  • TAG-160 — фокус на секторе логистики; фишинговые приманки от имени логистических фирм, использование метода ClickFix для распространения CastleLoader.
  • TAG-161 — имперсонация Booking.com; доставка CastleLoader и Matanbuchus, опора на инфраструктуру, контролируемую злоумышленником, и новые инструменты управления электронной почтой для фишинга.
  • Параллельная группа, также имитирующая Booking.com, но технически не совпадающая с TAG-161; использует страницы сообщества Steam для распространения CastleRAT через CastleLoader.
  • Четвёртый кластер — распространение через вредоносную рекламу (malvertising) и поддельные обновления программного обеспечения; развертывание CastleLoader и удалённого доступа через NetSupport RAT, маскированного под легитимные приложения.

TAG-160: логистика и имитация провайдеров

TAG-160 ориентирован преимущественно на компании логистического сектора. Его основные характеристики:

  • Фишинг-рассылки, имитирующие сообщения от логистических фирм.
  • Метод доставки — ClickFix, при котором вредоносная нагрузка маскируется под законные электронные письма и ссылки.
  • Использование уязвимостей в системах целевых организаций и подмена адресов электронной почты известных логистических компаний для повышения доверия.
  • Активное привлечение жертв через платформы для подбора грузов и аналогичные сервисы.

TAG-161: имперсонация Booking.com и собственная инфраструктура

TAG-161 применяет схожие приёмы фишинга, но с рядом отличительных черт:

  • Имперсонация Booking.com, целевая доставка CastleLoader и Matanbuchus.
  • Широкое использование инфраструктуры, контролируемой злоумышленником (включая новые, ранее не документированные инструменты управления электронной почтой).
  • Ориентация на массовые фишинговые кампании с высокой степенью централизации управления.

Параллельная группа с имперсонацией Booking.com

Отдельная группа действует параллельно, также притворяясь Booking.com, но не показывает технического совпадения с TAG-161. Ключевая особенность этой группы — использование страниц сообщества Steam как канала для распространения CastleRAT через загрузчики CastleLoader.

Кластер с malvertising и поддельными обновлениями

Четвёртая стратегия заметно отличается по вектору распространения:

  • Malvertising и поддельные обновления ПО используются для установки CastleLoader и NetSupport RAT.
  • Вредоносные файлы маскируются под законные программные средства и обновления, что повышает вероятность успешной инсталляции.

CastleRAT: варианты и возможности

CastleRAT наблюдается в двух основных вариантах — на языке C и на Python. Его функционал включает:

  • удалённое выполнение команд (RCE);
  • геолокацию запросов через определённый API;
  • в расширенных вариантах — функциональность кражи учётных данных из браузера и регистрацию нажатий клавиш (keylogging).

Различия между вариантами свидетельствуют о намерении оператора покрыть широкий спектр задач: лёгкие и быстро разворачиваемые имплементации на Python и более производительные/устойчивые реализации на C.

Инфраструктура C2 и аномалии — возможная связь с Sparja

Анализ инфраструктуры управления (C2) показал согласованную схему обмена данными между несколькими серверами, что указывает на использование стратегий избыточности и резервирования. Такая архитектура повышает устойчивость операций и усложняет пресечение деятельности злоумышленника.

Отдельный аномальный экземпляр в инфраструктуре CastleLoader предположительно связан с другим злоумышленником — «Sparja». Это может означать либо повторное использование кода, либо наличие общего операционного шаблона между группами.

«Согласованная схема C2 и повторяющиеся TTP свидетельствуют о том, что GrayBravo выстраивает масштабируемую и выдержанную инфраструктуру — это повышает риск массового распространения его инструментов среди других акторов», — отмечают исследователи.

Жертвы и характер заражений

Несмотря на широкий арсенал и разнообразие каналов распространения, была обнаружена лишь горстка конкретных подтверждённых жертв. Большинство инцидентов остаются неопределёнными. Примечательно, что в ряде случаев заражение происходило через отдельные устройства в сети организаций — а не через немедленное проникновение в корпоративные системы. Это соответствует модели массового фишинга и целевых поставок вредоносной нагрузки на конечные устройства.

Выводы и прогноз

  • Рост числа кластеров, связанных с CastleLoader, указывает на расширение возможностей и влияния GrayBravo в киберпреступной экосистеме.
  • Модель MaaS позволяет злоумышленнику масштабировать распространение вредоносных инструментов и делать их доступными для множества сторонних акторов.
  • Широкий набор векторов доставки — от имперсонации известных сервисов до malvertising и поддельных обновлений — повышает вероятность успешных компрометаций в разных секторах.

В ближайшей перспективе можно ожидать дальнейшего расширения предложений от GrayBravo и более активного их использования другими злоумышленниками, что увеличивает необходимость проактивных мер со стороны организаций и оперативного обмена информацией о новых индикаторах компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GrayBravo: кластеры CastleLoader, CastleRAT и масштаб MaaS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.