GrayBravo’nun Kötü Niyetli Altyapısı
Son günlerde, CastleLoader adı verilen bir kötü niyetli yazılım yükleyicisinin kullanıldığı dört ayrı tehdit etkinliği kümesi gözlemlendi. Bu durum, bu aracın bir kötü yazılım hizmeti (MaaS) modeli altında başka tehdit aktörlerine sunulduğu değerlendirmesini güçlendiriyor. CastleLoader’ın arkasındaki tehdit aktörü, Recorded Future tarafından GrayBravo olarak adlandırıldı ve daha önce TAG-150 olarak izleniyordu.
GreyBravo Hakkında
GrayBravo, hızlı gelişim döngüleri, teknik yetkinlikleri, kamu raporlarına yanıt verme becerileri ve genişleyen altyapısı ile tanımlanıyor. Mastercard’a ait bu şirketin yaptığı analize göre, GrayBravo, karmaşık bir yapı ile faaliyet gösteriyor.
Tehdit Araçları
GrayBravo’nun kullandığı önemli araçlar arasında, uzaktan erişim trojanı CastleRAT ve üç bileşenden oluşan bir kötü yazılım çerçevesi olan CastleBot bulunmaktadır. CastleBot, ana modülü enjekte ederek komuta ve kontrol (C2) sunucusuna bağlanabilen bir yükleyici rolü üstlenmektedir. Bu, DLL, EXE ve diğer dosya yüklerini indirip çalıştırmasına olanak tanır. Bu çerçeve aracılığıyla dağıtılan bazı kötü yazılım aileleri arasında DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT ve SectopRAT yer alıyor.
Etkinlik Kümesi Analizi
Recorded Future’un son analizi, her biri farklı taktiklerle hareket eden dört ayrı etkinlik kümesi keşfetti:
Küme 1 (TAG-160): Lojistik sektörünü hedef alarak CastleLoader dağıtmak için phishing ve ClickFix tekniklerini kullanıyor (en az Mart 2025’ten beri aktif).
Küme 2 (TAG-161): Booking.com temalı ClickFix kampanyalarıyla CastleLoader ve Matanbuchus 3.0 dağıtıyor (en az Haziran 2025’ten beri aktif).
Küme 3: Booking.com taklidi yapan bir altyapı kullanarak, ClickFix ve Steam Community sayfalarını içeren bir yöntemi, CastleRAT‘ı dağıtmak için kullanıyor (en az Mart 2025’ten beri aktif).
Küme 4: Kötü reklam ve sahte yazılım güncellemesi tuzaklarıyla CastleLoader ve NetSupport RAT dağıtıyor (en az Nisan 2025’ten beri aktif).
Çok Katmanlı Altyapı
GrayBravo, faaliyetlerini desteklemek için çok katmanlı bir altyapı kullanıyor. Bu, CastleLoader, CastleRAT, SectopRAT ve WARMCOOKIE gibi kötü yazılım aileleri ile ilişkili, kurban odaklı C2 sunucularını ve muhtemel yedek olarak çalışan çok sayıda VPS sunucusunu içeriyor.
Başarılı Phishing Stratejileri
TAG-160 tarafından gerçekleştirilen saldırılar, DAT Freight & Analytics ve Loadlink Technologies gibi yük eşleştirme platformlarında oluşturulan sahte veya ele geçirilmiş hesapları kullanarak phishing kampanyalarının güvenilirliğini artırmada dikkat çekiyor. Bu faaliyet, lojistik endüstrisinin işleyişine derin bir anlayış sergileyerek, meşru şirketleri taklit ediyor ve sahte iletişimleri yansıtarak aldatıcılığını ve etkinliğini artırıyor.
Sonuç ve Değerlendirme
GrayBravo’nun kullanıcı tabanının önemli ölçüde genişlediği, CastleLoader kötü yazılımını kullanan tehdit aktörleri ve operasyonel kümelerin sayısındaki artışla gözlemleniyor. Bu durum, GrayBravo gibi tehdit aktörlerinin teknik olarak gelişmiş ve uyum sağlayabilen araçlarının, etkili oldukları takdirde siber suç ekosisteminde hızla yayılabileceğini açıkça göstermektedir.
Kötü niyetli yazılımlara karşı daha etkili bir savunma mekanizması geliştirmek için, bu tür tehditlerin nasıl hızla evrildiğini ve özelleştirildiğini anlamak kritik önem taşımaktadır.
