CastleLoader เป็นมัลแวร์โหลดเดอร์ที่ซับซ้อน ซึ่งถูกระบุครั้งแรกเมื่อต้นปี 2025 และกลายเป็นภัยคุกคามสำคัญต่อหน่วยงานรัฐบาลสหรัฐฯ และองค์กรโครงสร้างพื้นฐานสำคัญ มัลแวร์นี้ถูกใช้เป็นจุดเข้าถึงเบื้องต้นในการโจมตีแบบประสานงาน โดยพุ่งเป้าไปที่หน่วยงานรัฐบาลกลาง บริษัทไอที บริษัทโลจิสติกส์ และผู้ให้บริการโครงสร้างพื้นฐานที่จำเป็นทั่วอเมริกาเหนือและยุโรป มีรายงานว่าแคมเปญเดียวของ CastleLoader ส่งผลกระทบต่อองค์กรประมาณ 460 แห่ง โดยเน้นการบุกรุกระบบรัฐบาลในสหรัฐอเมริกา CastleLoader ทำงานเป็นโหลดเดอร์แบบหลายขั้นตอนที่ส่งเพย์โหลดรองเข้าสู่หน่วยความจำโดยตรง ทำให้การป้องกันความปลอดภัยแบบดั้งเดิมตรวจจับได้ยากมาก หน้าที่หลักของมัลแวร์คือการสร้างฐานแรกบนระบบที่ถูกบุกรุก จากนั้นจะติดตั้งเครื่องมือที่อันตรายยิ่งขึ้น เช่น โปรแกรมขโมยข้อมูล (information stealers) และโทรจันเข้าถึงระยะไกล (remote access trojans) ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมเครือข่ายที่ติดเชื้อได้อย่างสมบูรณ์
Severity: วิกฤต
System Impact:
- หน่วยงานรัฐบาลสหรัฐฯ (Federal agencies)
- องค์กรโครงสร้างพื้นฐานสำคัญ (Critical infrastructure organizations)
- บริษัทไอที (IT firms)
- บริษัทโลจิสติกส์ (Logistics companies)
- ผู้ให้บริการโครงสร้างพื้นฐานที่จำเป็น (Essential infrastructure providers)
- ระบบปฏิบัติการ Windows
Technical Attack Steps:
- 1. การเข้าถึงเบื้องต้น: เหยื่อถูกหลอกลวงด้วยเทคนิควิศวกรรมสังคม (Social Engineering) ที่เรียกว่า ClickFix ผ่านข้อความแจ้งเตือนการอัปเดตซอฟต์แวร์ปลอมหรือข้อความยืนยันระบบปลอม
- 2. การส่งเพย์โหลดเบื้องต้น: ผู้ใช้เผลอทำตามคำขอปลอมโดยไม่รู้ตัว ซึ่งนำไปสู่การติดตั้งไฟล์ Inno Setup installer ที่มีอันตราย
- 3. การรัน Installer: ไฟล์ Inno Setup installer ประกอบด้วย AutoIt3.exe และสคริปต์ AutoIt ที่คอมไพล์แล้ว (freely.a3x)
- 4. การระงับโปรเซส: สคริปต์ AutoIt เริ่มต้นโปรเซส jsc.exe (คอมไพล์เลอร์ JScript.NET ที่ถูกต้อง) ด้วยแฟล็ก CREATE_SUSPENDED ซึ่งจะระงับโปรเซสทันทีหลังการสร้าง
- 5. การจัดสรรหน่วยความจำ: มัลแวร์จัดสรรหน่วยความจำภายในโปรเซส jsc.exe ที่ถูกระงับโดยใช้ VirtualAllocEX พร้อมสิทธิ์ PAGE_EXECUTE_READWRITE เพื่ออนุญาตให้โค้ดสามารถรันจากพื้นที่ที่จัดสรรใหม่ได้
- 6. การฉีดเพย์โหลด: อิมเมจ Portable Executable (PE) ที่เป็นอันตรายจะถูกเขียนลงในหน่วยความจำที่จัดสรรไว้โดยตรงโดยใช้ WriteProcessMemory
- 7. การเขียนทับ ImageBaseAddress: มัลแวร์ดึงที่อยู่ PEB (Process Environment Block) และเขียนทับฟิลด์ ImageBaseAddress เพื่อให้แน่ใจว่าโค้ดที่ถูกฉีดจะโหลดในตำแหน่งหน่วยความจำที่ถูกต้อง
- 8. การเปลี่ยนเส้นทางการทำงาน: ใช้ SetThreadContext เพื่อเปลี่ยนเส้นทางการทำงานไปยังจุดเริ่มต้นของเพย์โหลดที่ถูกฉีด
- 9. การเปิดใช้งานเพย์โหลด: เรียกใช้ ResumeThread เพื่อเริ่มโปรเซส jsc.exe ซึ่งเป็นการเริ่มทำงานของเพย์โหลดที่เป็นอันตรายที่ถูกฉีดจากหน่วยความจำ
- 10. การติดตั้งเพย์โหลดรอง: CastleLoader จะติดตั้งเพย์โหลดรอง เช่น โปรแกรมขโมยข้อมูลและโทรจันเข้าถึงระยะไกลเข้าสู่หน่วยความจำของระบบ
Recommendations:
Short Term:
- เพิ่มความตระหนักรู้ของผู้ใช้: ฝึกอบรมพนักงานให้รู้จักและระมัดระวังเทคนิควิศวกรรมสังคม โดยเฉพาะข้อความอัปเดตซอฟต์แวร์หรือการยืนยันระบบปลอม
- ใช้การตรวจจับที่อิงตามหน่วยความจำ: ติดตั้งและใช้โซลูชันที่มีความสามารถในการตรวจจับภัยคุกคามในหน่วยความจำ (memory-based detection)
- ปรับใช้ EDR: ติดตั้งโซลูชัน Endpoint Detection and Response (EDR) เพื่อการตรวจจับและการตอบสนองต่อภัยคุกคามที่ซับซ้อน
- ใช้เครื่องมือวิเคราะห์แบบไดนามิก: ใช้เครื่องมือวิเคราะห์แบบไดนามิก (เช่น Sandbox) เพื่อวิเคราะห์พฤติกรรมของมัลแวร์ที่ซับซ้อน
Long Term:
- อัปเดตและแพตช์ระบบอย่างสม่ำเสมอ: ตรวจสอบให้แน่ใจว่าระบบและซอฟต์แวร์ทั้งหมดได้รับการอัปเดตและแพตช์อย่างทันท่วงที
- ใช้การป้องกันหลายชั้น: ใช้แนวทางการรักษาความปลอดภัยแบบหลายชั้น รวมถึงไฟร์วอลล์ ระบบตรวจจับ/ป้องกันการบุกรุก (IDS/IPS) และซอฟต์แวร์ป้องกันไวรัส/มัลแวร์
- ทำการตรวจสอบความปลอดภัยและทดสอบเจาะระบบ: ดำเนินการตรวจสอบความปลอดภัยและทดสอบเจาะระบบ (penetration testing) เป็นประจำ
- ปรับปรุงการแบ่งส่วนเครือข่าย: แบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดการเคลื่อนที่ของมัลแวร์หากเกิดการบุกรุก
- พัฒนาและทดสอบแผนรับมือเหตุการณ์: พัฒนาและทดสอบแผนรับมือเหตุการณ์ (incident response plans) อย่างสม่ำเสมอ
- รวมแหล่งข้อมูลข่าวกรองภัยคุกคาม (TI Feeds): ใช้ข้อมูลข่าวกรองภัยคุกคามเพื่อเพิ่มประสิทธิภาพการป้องกันเชิงรุก
Source: https://cybersecuritynews.com/stealthy-castleloader-malware/
Share this content: