關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.26
訊息與報導/資訊安全
CastleLoader惡意軟體透過假GitHub儲存庫與ClickFix釣魚攻擊感染469台設備

引言

The Hacker News發布文章《CastleLoader Malware Infects 469 Devices Using Fake GitHub Repos and ClickFix Phishing》,揭示一種名為CastleLoader的新型惡意軟體載入器(malware loader),自2025年5月起通過偽裝GitHub儲存庫和Cloudflare主題的ClickFix釣魚攻擊,感染了469台設備。該惡意軟體以其模組化設計和進階規避技術,成為多種資訊竊取程式和遠端存取木馬(RAT)的分發平台。本報告分析CastleLoader的攻擊手法、資安風險及其影響,並提出防禦建議,強調配置管理和用戶安全意識的重要性。


攻擊背景

CastleLoader由瑞士網路安全公司PRODAFT首次發現,是一種多功能惡意軟體載入器,專為分發資訊竊取程式(如DeerStealer、RedLine、StealC)和遠端存取木馬(如NetSupport RAT、SectopRAT、Hijack Loader)而設計。自2025年5月起,CastleLoader活動利用七個獨立的命令與控制(C2)伺服器,記錄了1,634次感染嘗試,成功感染469台設備,感染率高達28.7%。其攻擊目標包括美國政府機構等高價值目標,顯示其威脅的嚴重性。攻擊者利用社會工程學和可信平台的信任漏洞,通過偽裝成合法軟體開發庫、視訊會議平台、瀏覽器更新通知或文件驗證系統的假網域,誘騙用戶執行惡意PowerShell命令。此外,CastleLoader還利用偽裝成合法工具的GitHub儲存庫,誘導開發者下載惡意程式,顯示其針對技術社群的精準攻擊策略。


攻擊手法與技術細節

CastleLoader的攻擊鏈分為多個階段,展現其模組化設計和隱蔽性:

  1. 初始存取:
  • ClickFix釣魚:攻擊者利用Cloudflare主題的ClickFix技術,通過偽裝成軟體更新或文件驗證的網域,顯示假錯誤訊息或CAPTCHA驗證框,誘導用戶複製並執行PowerShell命令。這些網域通過Google搜尋引導受害者,增加可信度。
  • 假GitHub儲存庫:偽裝成合法開發工具的GitHub儲存庫,誘騙開發者下載惡意可執行檔案(PE),利用開發者對GitHub的信任。
  1. 負載分發:
  • CastleLoader以包含嵌入式shellcode的可攜式可執行檔案(PE)形式分發。執行後,shellcode調用主模組,連接到C2伺服器以下載後續階段的惡意軟體。
  • 攻擊利用PowerShell濫用技術,通過惡意PHP端點(如/s.php?an=0)將混淆程式碼填充到剪貼簿,進一步觸發感染鏈。
  1. 規避技術:
  • 使用死碼注入(dead code injection)和打包技術,阻礙靜態分析。
  • 實施反沙箱技術和動態解包,類似SmokeLoader和IceID等進階載入器,降低檢測率。
  1. 持久化與執行:
  • 主模組連接到C2伺服器,根據設備類型(Windows或Linux)下載特定模組,如資訊竊取程式或RAT。
  • 通過進程偽裝和日誌清除,確保惡意活動隱蔽運行。

CastleLoader的模組化結構使其成為惡意軟體即服務(MaaS)生態系統中的重要一環,作為初始感染和後續負載部署的分階段工具。


資安風險

CastleLoader攻擊帶來以下主要風險:

  1. 數據竊取:分發的資訊竊取程式(如RedLine、StealC)可竊取憑證、財務資料和敏感資訊。
  2. 遠端控制:RAT(如NetSupport RAT)允許駭客遠端操控受害設備,可能導致進一步攻擊或勒索。
  3. 供應鏈威脅:假GitHub儲存庫可能影響開發者社群,擴散到軟體供應鏈。
  4. 高價值目標暴露:美國政府機構等關鍵受害者顯示攻擊的針對性和潛在國家安全風險。
  5. 用戶信任危機:利用可信平台(如GitHub、Cloudflare)進行釣魚,損害用戶對合法平台的信任。


安全影響

CastleLoader的攻擊對企業和個人產生重大影響。首先,469台設備的感染顯示其高效傳播能力,可能導致財務損失和數據洩露。其次,針對高價值目標(如政府機構)可能影響關鍵基礎設施安全。此外,攻擊的隱蔽性(反沙箱、記憶體執行)增加了檢測和移除的難度,延長事件響應時間。從行業角度看,假GitHub儲存庫和ClickFix釣魚顯示駭客利用可信平台的趨勢,促使企業重新審視其資安防禦策略。


防禦建議

為防禦CastleLoader的攻擊,企業應採取以下措施:

  1. 強化組態管理:遵循NIST SP 800-53(CM-2、CM-3)或ISO/IEC 27001標準,建立系統配置基準,定期審計PowerShell和GitHub相關配置。
  2. 限制PowerShell執行策略,防止未簽署腳本運行。
  3. 提升用戶意識:開展釣魚攻擊模擬培訓,教導員工識別假錯誤訊息、CAPTCHA提示和可疑GitHub儲存庫。教育開發者驗證GitHub儲存庫的合法性,避免下載未經驗證的工具。
  4. 進階檢測:部署端點檢測與回應(EDR)工具,監控異常PowerShell活動和與可疑C2伺服器的通訊。使用沙箱技術分析可疑可執行檔案,檢測記憶體執行的惡意負載。
  5. 網路監控:實施入侵檢測系統(IDS),監控與已知惡意域名(如/s.php?an=0)的流量。使用剪貼簿監控工具,檢測惡意程式碼注入。
  6. 修補漏洞:定期更新軟體開發庫和視訊會議平台,修補已知漏洞,防止ClickFix攻擊利用。
  7. 威脅情報共享:參考PRODAFT的報告,與行業組織共享CastleLoader的TTP(戰術、技術和程序),增強集體防禦。
  8. 限制存取:實施最小權限原則,限制對敏感系統的存取,降低釣魚攻擊的成功率。


結論

CastleLoader惡意軟體以其模組化設計和進階規避技術,通過假GitHub儲存庫和ClickFix釣魚攻擊,成功感染469台設備,顯示其作為MaaS生態系統載入器的威脅性。其分發資訊竊取程式和RAT的能力,特別是針對高價值目標(如美國政府機構),凸顯了企業強化資安防禦的迫切性。通過配置管理、用戶培訓和進階檢測,企業可有效降低CastleLoader的風險。隨著駭客持續利用可信平台進行攻擊,企業必須將資安融入核心策略,確保系統和數據安全。
 

資料來源:https://thehackernews.com/2025/07/castleloader-malware-infects-469.html