CastleRAT: мультиступенчатая атака на захват учётных записей
По данным Deception.PRO, сложное многоступенчатое вредоносное ПО CastleRAT использовалось в кампании, ориентированной на целенаправленный захват учётных записей (ATO). Атака примечательна тем, что злоумышленники не пытались разворачивать ransomware или выполнять широкомасштабное перемещение по сети — основная цель была аккуратно точечной: компрометация учётных записей пользователей с последующим использованием их доступа.
Краткая сводка событий
- Дата начального заражения: 4 декабря 2025 года.
- Первичный вектор: безобидно выглядящий установщик MSI с именем CarrierRegistration.msi.
- Компоненты: библиотека DLL Matanbuchus, загружающая дополнительные полезные файлы.
- Тактика управления: использование страницы профиля Steam в качестве механизма dead-drop для связи с инфраструктурой C2.
- Метод действия: hands-on-keyboard (HOK) активность, ориентированная на перехват учётных записей (ATO).
Технические детали
Злоумышленники применили установщик MSI, внешне не вызывающий подозрений, чтобы обойти базовые меры защиты и инициировать цепочку загрузки. Внутри MSI использовалась библиотека DLL Matanbuchus, которая впоследствии загружала дополнительные модули — типичный шаг для построения многоступенчатой атакующей инфраструктуры.
Для коммуникации с Управлением и Контролем (C2) злоумышленники не использовали собственные домены или традиционные каналы. Вместо этого они применили страницу профиля Steam как dead-drop, что усложняет обнаружение и блокировку: публичные платформы и легитимные сервисы маскируют активность и снижают вероятность мгновенной реакции со стороны защитных систем.
«По данным Deception.PRO, использование страницы профиля Steam в качестве механизма dead-drop демонстрирует эволюцию методов злоумышленников и усложняет задачу обнаружения активности C2», — отмечается в отчёте.
Почему это важно для организаций
- Фокус на ATO означает, что злоумышленники пытаются получить долговременный доступ, минуя громкие и заметные действия вроде шифрования файлов.
- Использование легитимных платформ (например, Steam) в роли промежуточного канала снижает вероятность блокировки по традиционным сигнатурам и репутации домена.
- Безобидно выглядящие установщики (MSI) остаются эффективным способом первичного проникновения, особенно при недостаточных привилегиях и контроле установки ПО.
Практические рекомендации
- Ограничить возможность установки MSI-файлов: применять белые списки приложений и политику установки ПО через централизованные каналы.
- Контролировать и анализировать поведение загружаемых DLL (включая Matanbuchus) и цепочки загрузки дополнительных модулей.
- Мониторить аномальную активность, связанную с публичными платформами (включая обращения к профилям Steam) и искать паттерны, характерные для использования «dead-drop».
- Внедрить многофакторную аутентификацию (MFA) и усиленные механизмы защиты привилегированных учётных записей для снижения эффективности ATO-кампаний.
- Настроить EDR и SIEM на обнаружение hands-on-keyboard (HOK) поведения: интерактивные команды, необычная работа с учётными данными и долгие интерактивные сессии.
- Проводить регулярный threat hunting по индикаторам компрометации и обучать персонал распознавать подозрительные установщики и фишинговые сцепки.
Вывод
Кампании типа CastleRAT демонстрируют, что злоумышленники всё активнее используют сочетание социально-инженерных приёмов, легитимных платформ и мало заметных установщиков для достижения конкретной цели — захвата учётных записей. Это требует от компаний смещения фокуса с исключительно сигнатурной детекции на поведенческий анализ, жесткий контроль установки ПО и усиление защиты учётных записей.
Организациям следует рассматривать подобные инциденты как напоминание о необходимости многослойной защиты и проактивного охотничьего подхода к угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
