Vào đầu năm 2025, mã độc CastleLoader, một trình tải (loader) mã độc tinh vi, đã xâm nhập thành công hơn 400 thiết bị. Theo báo cáo của công ty an ninh mạng PRODAFT, tính đến tháng 5 năm 2025, đã có 469 trường hợp lây nhiễm trong tổng số 1.634 nỗ lực tấn công, đạt tỷ lệ thành công ấn tượng 28.7%.

Mã độc CastleLoader là một mối đe dọa đa mô-đun, sử dụng các kỹ thuật lừa đảo (phishing) nâng cao, bao gồm các mồi nhử Cloudflare-themed ClickFix và các kho lưu trữ GitHub giả mạo, để triển khai một loạt các payload thứ cấp như trình đánh cắp thông tin (information stealer) và trojan truy cập từ xa (RAT).

Tổng Quan về Mã Độc CastleLoader và Mối Đe Dọa Mạng

Mức độ lây nhiễm và tác động

Các thực thể chính phủ Hoa Kỳ đã trở thành mục tiêu chính của mã độc CastleLoader, cho thấy tiềm năng gây ra sự gián đoạn rộng khắp trong các lĩnh vực cơ sở hạ tầng trọng yếu. Theo báo cáo từ các nhà phân tích tại PolySwarm, CastleLoader được đánh dấu là một mối đe dọa mạng mới nổi có tác động cao. Điều này được nhấn mạnh bởi khả năng khai thác các nền tảng đáng tin cậy và điểm yếu của người dùng để vượt qua các biện pháp bảo mật thông thường.

Đặc điểm nổi bật của CastleLoader

CastleLoader nổi bật với thiết kế mô-đun và khả năng thích ứng cao, cho phép kẻ tấn công tùy chỉnh các payload được triển khai. Điều này làm cho nó trở thành một công cụ mạnh mẽ trong các chiến dịch xâm nhập. Sự linh hoạt trong việc sử dụng nhiều kênh phân phối và kỹ thuật che giấu giúp nó duy trì khả năng hoạt động ngay cả khi bị phát hiện ban đầu.

Chuỗi Tấn Công và Cơ Chế Lây Nhiễm

Phishing và Lừa Đảo Kỹ Thuật Xã Hội

Chuỗi tấn công của mã độc CastleLoader bắt đầu bằng các chiến dịch lừa đảo giả mạo các dịch vụ hợp pháp. Các nạn nhân thường được trình bày với các thông báo lỗi giả hoặc thử thách CAPTCHA trên các miền giả mạo Cloudflare, Google Meet hoặc thông báo cập nhật trình duyệt. Các mồi nhử này lừa người dùng sao chép và thực thi các lệnh PowerShell độc hại thông qua hộp thoại Windows Run.

Kỹ thuật này cho phép mã độc bỏ qua các cổng email và dựa vào hành động do người dùng khởi tạo để thực hiện xâm nhập ban đầu. Đây là một phương pháp hiệu quả để tránh các lớp bảo vệ truyền thống và trực tiếp gây nguy hiểm cho hệ thống.

Khai Thác Nền Tảng Phát Triển (GitHub)

Song song đó, mã độc CastleLoader khai thác lòng tin của các nhà phát triển vào hệ sinh thái mã nguồn mở bằng cách phân phối các trình cài đặt độc hại qua các kho lưu trữ GitHub giả mạo. Một ví dụ điển hình là các kho giả mạo thư viện SQL Server Management Studio (SSMS-lib).

Khi được thực thi, các trình cài đặt này sẽ thiết lập kết nối với các máy chủ Command-and-Control (C2). Điều này cho phép triển khai động các payload được điều chỉnh theo mục tiêu của kẻ tấn công, tối ưu hóa quá trình lây nhiễm và chiếm quyền kiểm soát.

Kỹ Thuật Duy Trì và Che Giấu Hoạt Động

Cấu trúc và Thành Phần Chính

Về cốt lõi, CastleLoader sử dụng kết hợp các script PowerShell và các tệp thực thi được biên dịch bằng AutoIT để đạt được sự duy trì (persistence) và khả năng lẩn tránh (evasion). Khi được kích hoạt, thành phần AutoIT sẽ tiêm shellcode vào bộ nhớ dưới dạng một thư viện liên kết động (DLL). Kỹ thuật này sử dụng tên DLL được băm (hashed DLL names) và phân giải API để che giấu các hoạt động của nó và kết nối với một trong bảy máy chủ C2 được tăng cường bảo mật.

Thông tin chi tiết về các kỹ thuật tương tự có thể được tìm thấy tại GBHackers on Security.

Giao Thức Giao Tiếp C2 và Quản Lý

Các máy chủ C2 của mã độc CastleLoader được quản lý thông qua một bảng điều khiển dựa trên web. Bảng điều khiển này cung cấp dữ liệu từ xa chi tiết, bao gồm địa chỉ IP của nạn nhân, dấu vân tay hệ thống (system fingerprints) và dữ liệu địa lý. Điều này cho phép các tác nhân đe dọa điều phối các chiến dịch được nhắm mục tiêu với độ chính xác cao.

Mô-đun Delivery của bảng điều khiển quản lý việc lưu trữ payload với các thẻ siêu dữ liệu. Mô-đun Tasks hỗ trợ các tính năng nâng cao như lọc địa lý, triển khai vùng chứa Docker được mã hóa, kiểm tra bắt buộc quyền quản trị (administrative privilege checks), các quy trình phát hiện chống máy ảo (anti-virtual machine detection), và các lời nhắc lỗi mô phỏng để đánh lạc hướng nghi ngờ.

Hệ Sinh Thái Payload và Chỉ Số IOCs

Các Payload Phụ Trợ

Tính linh hoạt của loader thể hiện rõ trong hệ sinh thái payload của nó, bao gồm:

• StealC và RedLine: Dùng để thu thập thông tin đăng nhập từ trình duyệt và ví tiền điện tử.
• DeerStealer: Dùng để đánh cắp dữ liệu nhạy cảm.
• NetSupport RAT và SectopRAT: Dùng để thiết lập các cửa hậu (backdoor) dai dẳng, cho phép truy cập liên tục vào hệ thống bị xâm nhập. (Tham khảo thêm về kỹ thuật ClickFix được NetSupport RAT khai thác tại GBHackers).
• HijackLoader: Dùng để kết nối thêm các trình tải mã độc khác.

Sự chồng chéo với các hoạt động của DeerStealer, nơi cả hai mối đe dọa đều phân phối HijackLoader, cho thấy sự hợp tác giữa các mạng lưới tác nhân đe dọa. Điều này làm phức tạp thêm việc quy trách nhiệm và tăng cường mức độ rủi ro bảo mật.

Chỉ số IOCs (Indicators of Compromise)

Các giao tiếp mạng của mã độc CastleLoader được định tuyến qua các dịch vụ chia sẻ tệp hợp pháp và các trang web bị xâm nhập. Điều này giúp tăng cường khả năng phục hồi chống lại việc gỡ bỏ (takedown) và cho phép truy xuất payload một cách lén lút. Kiến trúc phân tán này, kết hợp với thiết kế mô-đun của CastleLoader, làm tăng cường hồ sơ mối đe dọa của nó, khiến nó đặc biệt thành thạo trong việc xâm nhập các mục tiêu có giá trị cao như các hệ thống chính phủ.

Các chỉ số về sự hiện diện của mã độc CastleLoader bao gồm:

• Các tên miền giả mạo Cloudflare, Google Meet, hoặc các trang cập nhật trình duyệt trong các chiến dịch phishing.
• Các kho lưu trữ GitHub giả mạo, ví dụ như giả mạo thư viện SSMS-lib, phân phối trình cài đặt độc hại.
• Các kết nối mạng đến một trong bảy máy chủ C2 đã được tăng cường bảo mật.
• Sự hiện diện của các tệp thực thi được biên dịch bằng AutoIT và các script PowerShell độc hại.
• Việc tiêm shellcode dưới dạng DLL vào bộ nhớ với tên DLL được băm.
• Sự phát hiện các payload phụ trợ như StealC, RedLine, DeerStealer, NetSupport RAT, SectopRAT, hoặc HijackLoader.

Phòng Ngừa và Biện Pháp Đối Phó An Ninh Mạng

Khuyến Nghị Bảo Mật

Với các trường hợp lây nhiễm trải rộng trên nhiều lĩnh vực và tập trung vào các nạn nhân quan trọng, mã độc CastleLoader đại diện cho một mô hình trình tải mã độc hiện đại, kết hợp kỹ thuật xã hội với năng lực kỹ thuật cao.

Các tổ chức được khuyến nghị tăng cường khả năng phòng thủ chống lại phishing, giám sát các phụ thuộc trên GitHub, và triển khai phân tích hành vi để phát hiện các thực thi PowerShell bất thường. Việc áp dụng một chiến lược an ninh mạng toàn diện là rất quan trọng để giảm thiểu rủi ro từ các mối đe dọa phức tạp như CastleLoader.