TAG-150 组织 CastleRAT 木马与 CastleLoader 运营分析报告【红客联盟 AI 分析】

一、威胁主体与恶意软件矩阵

（一）组织画像

• 威胁别名：TAG-150（Recorded Future 命名），活跃于 2025 年 3 月至今，以 “恶意软件即服务（MaaS）” 为核心运营模式；
• 技术特征：擅长多层级 C2 架构、无文件攻击、跨语言开发（C/Python/.NET），攻击目标覆盖全球（C2 服务器分布俄罗斯、英国、荷兰等）；
• 历史活动：通过 CastleLoader 分发 DeerStealer、RedLine、SectopRAT 等 20 余款恶意软件，近期转向自主开发 RAT 以提升控制力。

（二）核心恶意软件家族

二、攻击链解析：从 CastleLoader 到 CastleRAT 的闭环渗透

（一）感染入口：钓鱼与投毒（结合摘要 1/6 的传播手法）

1. ClickFix 钓鱼：伪装 Cloudflare 更新提示、在线会议平台（如 Zoom）、文档验证系统，诱导点击含 CastleLoader 的恶意链接（参考摘要 6 的 “伪装程序文件”）；
2. GitHub 投毒：创建仿冒合法软件的仓库（如 “开源工具”“开发库”），托管含 Loader 的虚假安装包，利用 “搜索引擎投毒（SEO poisoning）” 提升曝光（参考摘要 1 的境外恶意网址特征）；
3. USB / 共享文件夹扩散：结合 TinyLoader（Hunt.io 发现），通过快捷方式传播，感染未联网设备（参考摘要 4 的移动介质传播模式）。

（二）加载器阶段：无文件执行与防御规避（参考摘要 5 的 PCASTLE Zeroes 技术）

1. PowerShell 循环攻击：
   • 执行Add-MpPreference -ExclusionPath为 CastleLoader 添加 Windows Defender 白名单，循环尝试直至成功（非 0 退出代码时触发 UAC 弹窗轰炸，绕过沙箱检测，参考摘要 5 的无文件加载）；
   • 内存加载：所有组件（含 ABAP 代码）均驻留内存，无磁盘落地，规避传统文件检测（参考摘要 2 的 NOPEN 木马无文件特性）。
2. 持久化驻留：
   • 修改注册表RunOnce键值，确保开机自启；
   • 注册为 Windows 服务（如NightshadeSvc），名称模仿系统组件（如WinDefend），参考摘要 3 的 Slingshot 服务伪装。

（三）RAT 阶段：数据窃取与 C2 通信（结合摘要 2/4 的远控功能）

1. 数据收集：
   • 基础层：系统信息（CPU / 内存 / IP）、进程列表、用户目录结构（Inf0s3c Stealer 同源功能）；
   • 敏感层：浏览器密码（Chromium/Gecko 内核）、剪贴板监控（加密货币地址替换，参考摘要 4 的 C# 远控木马）、键盘记录（TinkyWinkey 同源技术）；
   • 扩展层：摄像头录制、屏幕截图（C 版特有，参考摘要 3 的 Slingshot 监控能力）。
2. C2 通信：
   • 一级 C2：直接面向受害者，使用programsbookss[.]com等域名（Steam 社区死信解析，参考摘要 2 的 NSA “死信” 机制）；
   • 多层转发：通过俄罗斯 VPS（二级）、英国 / 荷兰服务器（三级）、备用节点（四级）构建代理链，隐藏真实 IP（参考摘要 1 的僵尸网络架构）；
   • 协议混淆：混合使用 HTTP（80/443）、UDP（33445）、高端口（8080）通信，规避端口白名单（参考摘要 4 的 DDoS 僵尸网络协议特征）。

三、技术演进：从 “分发者” 到 “控制者” 的能力升级

（一）跨语言开发：适配多场景攻击

• C 语言版：高性能、低查杀（依赖编译后二进制文件，VirusTotal 检测率 < 5%），侧重企业渗透（如 SAP 系统 RFC 注入后植入，参考摘要 3 的路由器→PC 感染链）；
• Python 版：轻量化、易修改，适合大规模钓鱼（如教育机构、中小企业，参考摘要 6 的社交平台传播）。

（二）立体防御规避：对抗现代安全体系

1. UAC 绕过：通过循环触发 UAC 弹窗，迫使用户点击 “允许”（参考摘要 5 的 PCASTLE Zeroes UAC 轰炸）；
2. 沙箱逃逸：
   • 检测虚拟环境（如VBoxGuestAdditions服务），终止运行；
   • 利用ip-api.com地理定位接口，排除沙箱常用 IP 段（如 AWS、Azure）；
3. 无文件化：核心组件全部内存驻留，仅 Loader 阶段落地临时脚本（执行后删除），参考摘要 2 的 NOPEN 木马无文件特性。

（三）生态整合：构建恶意软件 “供应链”

• 横向联动：CastleLoader→CastleRAT→RedLine Stealer→加密货币剪切器（如 TinyLoader 组合），形成 “感染 – 控制 – 窃取 – 变现” 闭环（参考摘要 4 的多层级攻击链）；
• 模块化扩展：支持插件化加载（如新增 Tor 节点检测模块），快速适配新攻击场景（如 2025 年 9 月新增的 VPN / 代理识别功能）。

四、防御建议：分层阻断攻击链（整合摘要 1/2/5/6 防护策略）

（一）紧急响应（72 小时）

1. 端点排查：
   • 检查%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup目录，删除异常快捷方式；
   • 监控进程powershell.exe异常参数（如含Add-MpPreference），参考摘要 5 的 PowerShell 行为监控；
   • 扫描 Steam 社区访问记录，阻断steamcommunity.com加载非官方 JS（C2 死信解析载体）。
2. 网络拦截：
   • 在防火墙 / IPS 添加规则，阻断programsbookss[.]com及关联 IP（俄罗斯 77.239.125.41 等，参考摘要 1 的境外恶意 IP 清单）；
   • 限制ip-api.com调用（仅允许可信服务），阻断 CastleRAT 地理定位（C 版关键检测点）。

（二）长效防护（30 天计划）

1. 权限最小化：
   • 禁用普通用户执行Add-MpPreference权限（组策略限制SeLoadDriverPrivilege），参考摘要 5 的 PowerShell 权限控制；
   • 部署 EDR 行为分析，标记 “高频 UAC 弹窗 + PowerShell 循环” 异常行为（如 10 分钟内触发 5 次以上 UAC）。
2. 开发环境管控：
   • 企业 GitHub 仓库启用双因素认证，定期审计 “开源工具” 提交记录（防范投毒，参考摘要 6 的社交平台传播防御）；
   • 禁止从非官方渠道下载 “Cloudflare 工具”“Zoom 插件”，强制通过官方商店更新（参考摘要 3 的路由器→PC 感染阻断）。
3. 员工培训：
   • 模拟 ClickFix 钓鱼场景（如 “Cloudflare 更新提示”），培训 “文件扩展名检查”（如.lnk伪装.exe，参考摘要 6 的程序文件伪装识别）；
   • 教育 “三不原则”：不运行邮件附件程序、不点击 GitHub 陌生链接、不允许 UAC 弹窗轰炸的程序（连续 3 次弹窗即断网上报）。

（三）威胁狩猎（持续）

1. IOCs 清单：
   • 文件哈希：CastleRAT C 版（SHA256 需通过红客联盟威胁平台获取）；
   • 注册表键：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Nightshade；
   • 网络特征：DNS 查询含steamcommunity.com/ID_<随机字符串>（死信解析标识）。
2. 关联攻击排查：
   • 结合摘要 1 的 “Nanocore 远控”、摘要 4 的 “C# 后门”IOCs，排查 CastleRAT 共存感染（如同一设备同时存在键盘记录与浏览器密码窃取）。