CastleBot, một framework mã độc mới nổi, đã được IBM X-Force phát hiện đang hoạt động dưới mô hình Malware-as-a-Service (MaaS). Nền tảng này cho phép các tác nhân đe dọa triển khai hàng loạt payloads, từ infostealer đơn giản đến các backdoor phức tạp, có liên quan đến các chiến dịch mã độc tống tiền.

CastleBot lần đầu tiên được ghi nhận vào đầu năm 2025, với cường độ hoạt động gia tăng đáng kể từ tháng 5 cùng năm. Framework này có khả năng phân phối nhiều loại mối đe dọa như NetSupport và WarmCookie, cả hai đều có lịch sử liên quan đến các cuộc tấn công ransomware.

Tổng Quan Về CastleBot và Mối Đe Dọa Mạng

Tính Năng và Khả Năng Mục Tiêu Hóa

Tính linh hoạt của framework CastleBot cho phép kẻ tấn công lọc nạn nhân, quản lý các ca lây nhiễm và nhắm mục tiêu chính xác vào các tài sản có giá trị cao. Việc này được thực hiện thông qua thu thập dữ liệu về máy chủ, bao gồm tên người dùng, tên NetBIOS, kiến trúc hệ thống và ID nạn nhân duy nhất.

ID nạn nhân được tính toán bằng thuật toán Linear Congruential Generator (LCG) từ số serial của ổ đĩa. Khả năng thu thập thông tin chi tiết này giúp CastleBot tối ưu hóa các cuộc tấn công.

Cơ Chế Giao Tiếp Command-and-Control (C2)

Thành phần cốt lõi của CastleBot giao tiếp với máy chủ Command-and-Control (C2) sử dụng các container được mã hóa bằng thuật toán ChaCha qua giao thức HTTP. Mã độc gửi yêu cầu tác vụ từ C2, trong đó một chiến dịch có thể chứa nhiều payload khác nhau.

Cơ chế này làm phức tạp các phương pháp phát hiện truyền thống, gây khó khăn cho các hệ thống an ninh mạng trong việc nhận diện và ngăn chặn.

Kiến Trúc và Chuỗi Lây Nhiễm của CastleBot

Chuỗi Lây Nhiễm Ban Đầu

Chuỗi lây nhiễm của CastleBot thường bắt đầu bằng các trình cài đặt phần mềm đã bị trojan hóa. Chúng được phân phối thông qua các trang web giả mạo được tăng cường bởi kỹ thuật SEO poisoning, nơi các trang độc hại vượt qua các trang hợp pháp trong kết quả tìm kiếm.

Ngoài ra, CastleBot cũng được quan sát thấy lợi dụng các kho lưu trữ GitHub giả mạo phần mềm hợp lệ và kỹ thuật ClickFix để thu hút người dùng tải về.

Kiến Trúc Ba Giai Đoạn

Kiến trúc của CastleBot được chia thành ba giai đoạn chính:

• Shellcode Stager Nhẹ: Giai đoạn đầu tiên là một shellcode stager có dung lượng nhỏ, có nhiệm vụ tải xuống và giải mã các payload tiếp theo sử dụng khóa XOR, ví dụ như “GySDoSGySDoS”.
• Loader: Sau khi giải mã, loader tiến hành ánh xạ các phần PE (Portable Executable), phân giải các hàm import, và thao túng cấu trúc PEB_LDR_DATA. Kỹ thuật này được sử dụng để bắt chước việc tải module hợp pháp, giúp mã độc né tránh các công cụ phát hiện và phản ứng điểm cuối (EDR).
• Backdoor Cốt Lõi: Đây là thành phần chính của CastleBot. Nó sử dụng AP hashing để phân giải các API, giải mã cấu hình bao gồm ID chiến dịch và khóa ChaCha, sau đó đăng ký với máy chủ C2 bằng cách gửi dữ liệu máy chủ đã được mã hóa.

Kỹ Thuật Thực Thi và Duy Trì Quyền Truy Cập

Các tác vụ của CastleBot được thực thi dựa trên nhiều phương pháp khởi chạy khác nhau:

• Tiêm Process: Thông qua hooking NtManageHotPatch, mã độc có thể bypass các kiểm tra của Windows 11 24H2.
• Duy Trì Quyền Truy Cập (Persistence): Được thực hiện thông qua các tác vụ đã lên lịch (scheduled tasks) sử dụng giao diện COM ITaskService.

Các bản cập nhật được triển khai vào tháng 7 năm 2025 đã giới thiệu các cải tiến đáng kể. Chúng bao gồm bypass WOW64 cho các binary 32-bit và mở rộng các phương pháp khởi chạy mới. Các phương pháp này bao gồm thực thi MSI thông qua msiexec.exe và kỹ thuật tiêm process nâng cao sử dụng QueueUserAPC để giảm số lượng cuộc gọi API, gây khó khăn hơn cho việc phát hiện xâm nhập.

# Ví dụ lệnh thực thi MSI thông qua msiexec.exe:
msiexec.exe /i C:pathtomalicious.msi /quiet /norestart

# Ví dụ lệnh tạo Scheduled Task để duy trì quyền truy cập:
schtasks /create /tn "CastleBot Task" /tr "C:pathtocastlebot.exe" /sc DAILY /st 09:00

Các Chiến Dịch và Payloads Thực Tế của CastleBot

Đa Dạng Payloads và Mối Liên Kết

Các chiến dịch CastleBot được X-Force phân tích đã tiết lộ sự đa dạng trong các payloads được triển khai. Một chuỗi lây nhiễm điển hình bắt đầu với trình cài đặt SSMS đã bị vũ khí hóa, giải mã CastleBot thông qua Dave Loader, sau đó triển khai WarmCookie từ một máy chủ C2 tại 170.130.165.112.

Một chiến dịch khác đã phân phối Rhadamanthys, Remcos và DeerStealer theo trình tự. Các triển khai NetSupport thường lợi dụng kỹ thuật ClickFix trên các trang DocuSign giả mạo. Các chiến dịch khác liên quan đến SecTopRAT, HijackLoader và MonsterV2, thường thông qua các tệp lưu trữ ZIP và kỹ thuật DLL sideloading.

IOC (Indicators of Compromise)

Dưới đây là một số IOC liên quan đến các chiến dịch CastleBot đã được phân tích:

• C2 IP Address: 170.130.165.112

Mô Hình MaaS và Tiềm Năng Phát Triển

Bản chất của mô hình Malware-as-a-Service (MaaS) của CastleBot, với sự phân phối riêng tư và dựa trên mạng lưới affiliate, nhấn mạnh tiềm năng leo thang thành các cuộc tấn công mã độc ransomware quy mô lớn. Điều này đã được chứng minh qua mối liên hệ với các mục tiêu của Operation Endgame, một chiến dịch quốc tế nhằm chống lại các hoạt động mã độc.

Tham khảo thêm chi tiết về hoạt động của CastleBot từ báo cáo chính thức của IBM X-Force tại IBM X-Force: Dissecting CastleBot MaaS Operation.

Đối Phó và Biện Pháp Phòng Ngừa Trước CastleBot

Các Biện Pháp Phòng Vệ Quan Trọng

Khi CastleBot tiếp tục phát triển, tích hợp các kiểm tra chống máy ảo (anti-VM checks), thông báo lỗi giả mạo và các kỹ thuật tiêm process thích ứng, các tổ chức bảo mật cần ưu tiên các biện pháp phòng vệ sau:

• Cập Nhật EDR: Đảm bảo các giải pháp phát hiện và phản ứng điểm cuối (EDR) luôn được cập nhật phiên bản mới nhất và cấu hình tối ưu để chống lại các kỹ thuật evasive của CastleBot.
• Đào Tạo Người Dùng: Nâng cao nhận thức và đào tạo người dùng về rủi ro của việc tải xuống phần mềm từ các nguồn không xác minh. Đặc biệt chú ý đến các trang web giả mạo và kỹ thuật SEO poisoning.
• Xác Thực Đa Yếu Tố (MFA): Triển khai và bắt buộc sử dụng xác thực đa yếu tố cho tất cả các tài khoản và dịch vụ quan trọng để thêm một lớp bảo mật chống lại việc chiếm đoạt tài khoản.
• Chặn Lưu Lượng Ra Ngoài Không Mã Hóa: Cấu hình tường lửa và các thiết bị bảo mật để chặn lưu lượng HTTP không an toàn (non-HTTPS outbound traffic) nhằm hạn chế khả năng giao tiếp của CastleBot với máy chủ C2.

X-Force dự đoán CastleBot sẽ tiếp tục có những cải tiến để đối phó với các biện pháp an ninh, báo hiệu một sự chuyển dịch trong thế giới tội phạm mạng hướng tới các vector truy cập ban đầu năng động, sử dụng SEO poisoning để lừa đảo người dùng.