GrayBravo Tehdit Grubu CastleLoader Kötü Amaçlı Yazılımıyla 4 Farklı Kampanya Yürütüyor

Saldırının Genel Çerçevesi

GrayBravo olarak adlandırılan tehdit aktörü, 2025 yılının başlarından itibaren CastleLoader adlı kötü amaçlı yazılım hizmet altyapısını kullanarak dört farklı tehdit kümesi aracılığıyla saldırılar düzenliyor. Bu kampanyalar, özellikle lojistik sektörü ve seyahat odaklı platformları hedef alıyor. Saldırılar, oltalama (phishing), ClickFix komutları, malvertising ve sahte yazılım güncelleme tuzakları gibi çeşitli tekniklerle gerçekleştiriliyor.

Saldırı Zinciri ve Teknik Detaylar

CastleLoader, kötü amaçlı yazılım-hizmet olarak (MaaS) sunulan bir araç olup, komut ve kontrol (C2) sunucularıyla iletişim kurarak DLL, EXE ve PE dosyalarını indirip çalıştırabiliyor. GrayBravo’nun araç setinde CastleRAT adlı uzaktan erişim trojanı ve CastleBot kötü amaçlı yazılım çerçevesi yer alıyor. CastleBot, shellcode stager/downloader, loader ve backdoor bileşenlerinden oluşuyor. Bu altyapı üzerinden DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2 ve WARMCOOKIE gibi zararlılar dağıtılıyor.

Kampanyalar şu şekilde sınıflandırılmıştır:

• Küme 1 (TAG-160): Mart 2025’ten beri aktif, lojistik sektörünü hedefleyerek oltalama ve ClickFix teknikleriyle CastleLoader dağıtıyor. Bu küme, DAT Freight & Analytics ve Loadlink Technologies gibi yük eşleştirme platformlarında sahte veya ele geçirilmiş hesaplar kullanarak saldırıların güvenilirliğini artırıyor.
• Küme 2 (TAG-161): Haziran 2025’ten beri Booking.com temalı ClickFix kampanyalarıyla CastleLoader ve Matanbuchus 3.0 varyantını yayıyor.
• Küme 3: Mart 2025’ten beri Booking.com’u taklit eden altyapı üzerinden ClickFix ve Steam Community sayfalarını dead drop çözücü olarak kullanarak CastleLoader ile CastleRAT dağıtıyor.
• Küme 4: Nisan 2025’ten beri malvertising ve Zabbix ile RVTools gibi sahte yazılım güncelleme tuzakları kullanarak CastleLoader ve NetSupport RAT yayılımı gerçekleştiriyor.

Hedef Sektörler ve Bölgesel Etki

Özellikle lojistik sektörü, yük eşleştirme platformları ve seyahat hizmetleri GrayBravo’nun ana hedefleri arasında yer alıyor. Bu sektörlerdeki şirketlerin operasyonlarına derinlemesine nüfuz eden aktörler, meşru firmaları taklit ederek oltalama kampanyalarının başarısını artırıyor. Kuzey Amerika’da ulaşım ve lojistik şirketlerine yönelik düşük güvenle ilişkilendirilen başka bir küme de tespit edilmiş durumda.

Siber Güvenlik Ekipleri İçin Öneriler

• E-posta güvenliği çözümlerini güçlendirerek oltalama saldırılarını engelleyin.
• EDR sistemlerinde CastleLoader, CastleRAT ve CastleBot gibi zararlılar için özel tespit kuralları oluşturun.
• ClickFix komutu ve Python tabanlı dropper davranışlarını izlemek için SIEM loglarını detaylı analiz edin.
• Yük eşleştirme platformlarındaki hesap aktivitelerini düzenli olarak denetleyin ve şüpheli erişimleri engelleyin.
• Malvertising ve sahte yazılım güncelleme tuzaklarına karşı ağ segmentasyonu ve URL filtreleme uygulayın.
• Çok faktörlü kimlik doğrulama (MFA) kullanarak C2 sunucularıyla iletişim kuran zararlılara karşı koruma sağlayın.
• Olay müdahale (incident response) süreçlerinizi CastleLoader tabanlı saldırılara göre güncelleyin.
• Güvenlik açıklarını kapatmak için sistem ve uygulama yamalarını zamanında uygulayın.

Teknik Özet

• Kullanılan zararlılar: CastleLoader, CastleRAT, CastleBot, DeerStealer, RedLine Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE.
• Hedef sektörler: Lojistik, seyahat, ulaşım.
• Kullanılan teknikler: Phishing, ClickFix komutları, malvertising, sahte yazılım güncelleme tuzakları.
• Saldırı zinciri: Oltalama e-postası → ClickFix komutu ile Python dropper → CastleLoader yükü indirme → C2 iletişimi → Zararlı yüklerin çalıştırılması.
• Önerilen savunma: E-posta güvenliği, EDR ve SIEM entegrasyonu, MFA, ağ segmentasyonu, düzenli yama yönetimi.