کمیته رکن چهارم– پژوهشگران امنیتی از شناسایی بدافزار جدیدی به نام CastleRAT خبر دادهاند که توسط گروه مهاجم TAG-150 توسعه یافته است. این بدافزار در دو نسخه Python و C عرضه شده و بهعنوان عضو تازه زرادخانه این گروه شناخته میشود.
به گزارش کمیته رکن چهارم، CastleRAT بخشی از زنجیره حملاتی است که پیشتر با بدافزار CastleLoader آغاز شد. این بدافزار قابلیتهایی مانند جمعآوری اطلاعات سیستم، اجرای دستورات از راه دور، دانلود بارهای مخرب اضافی و حذف خودکار را دارد. نسخه C آن با نام NightshadeC2 نیز شناخته میشود و تواناییهای بیشتری از جمله ثبت کلیدهای فشردهشده، گرفتن اسکرینشات، بارگذاری و دانلود فایلها و حتی ربایش تراکنشهای رمزارزی را دارد. نسخه Python که با نام PyNightshade ردیابی میشود، عملکرد مشابهی دارد اما سادهتر است.
پژوهش Recorded Future نشان میدهد که این گروه از روشهای متنوعی مانند حملات فیشینگ با تم Cloudflare موسوم به ClickFix و همچنین مخازن جعلی در GitHub برای توزیع بدافزار استفاده میکند. CastleRAT همچنین از پروفایلهای Steam Community بهعنوان مکانیزم ارتباطی برای شناسایی سرورهای فرماندهی و کنترل بهره میگیرد.
نسخههای مختلف CastleRAT علاوه بر استفاده از سرویس ip-api برای جمعآوری دادههای مبتنی بر موقعیت IP قربانی، قادرند گذرواژهها و کوکیهای مرورگرهای مبتنی بر Chromium و Gecko را نیز سرقت کنند.
این کشف نشان میدهد که گروه TAG-150 همچنان به توسعه ابزارهای پیشرفته برای حملات سایبری ادامه میدهد و CastleRAT میتواند تهدیدی جدی برای سازمانها و کاربران در سراسر جهان باشد.
