Структура и действия TAG-150
С марта 2025 года новая сложная киберугроза под названием TAG-150 активно атакует организации и частных лиц по всему миру. Группа использует обширную многослойную инфраструктуру для развёртывания кастомных семейств вредоносных программ. Исследования Insikt Group показали, что инфраструктура TAG-150 разделена на четыре уровня, начиная с серверов командного управления (C2), работающих непосредственно с жертвами, и заканчивая резервными и промежуточными серверами, которые скрывают деятельность группы.
Эти серверы управляют и развёртывают различные вредоносные программы, включая CastleBot и недавно обнаруженный CastleRAT, троян удалённого доступа (RAT) с вариантами на языке Python и C. Эти первичные вредоносные программы зачастую доставляют и другие опасные программы, такие как SectopRAT и WarmCookie, а также несколько инфостилеров для максимизации ущерба от кражи данных и внутренней компрометации.
Технические особенности CastleRAT
Троян CastleRAT выделяется своей технической сложностью. Вариант на языке Python успешно избегает обнаружения антивирусными решениями, он собирает информацию об системе, загружает и исполняет полезные нагрузки, выполняет команды в CMD и PowerShell и может удаляться для сокрытия своей активности. Вариант на C обладает ещё большей функциональностью, включая запись нажатий клавиш, перехват содержимого буфера обмена, создание скриншотов, загрузку и выгрузку файлов, устойчивые механизмы и методы избегания обнаружения, что делает его мощным инструментом для удалённого мониторинга и управления.
Цепочка атак и защитные меры
Цепочка атаки TAG-150 обычно включает фишинговые техники, включая поддельные домены, имитирующие популярные платформы или библиотеки разработчиков, а также вредоносные GitHub репозитории. Жертв заманивают на выполнение команд, часто замаскированных под процессы отладки или обновления программного обеспечения. После успешной инфекции, которая достигает 28,7% взаимодействующих жертв, группа быстро переходит к развёртыванию вторичных нагрузок и подключению скомпрометированных устройств к своей сети серверов C2.
Чтобы усилить операционную безопасность и противодействовать попыткам их ликвидации, TAG-150 использует ориентированные на приватность сервисы, такие как Lokinet (сеть Oxen), платформы для обмена файлами (Mega.nz, temp.sh) и антидетекционные сервисы типа Kleenscan. Группа переключилась на использование страниц Steam Community для CastleRAT как «мертвых писем» C2 и экспериментировала с инкапсуляцией протоколов команд в WebSockets. Компоненты инфраструктуры регулярно перемещаются через виртуальные частные серверы и диапазоны IP, чтобы затруднить атрибуцию и усилия по смягчению угроз.
Рекомендации по снижению угроз включают блокировку идентифицированной инфраструктуры TAG-150, обновление правил обнаружения Sigma, YARA и Snort, фильтрацию подозрительного трафика и внимательное отслеживание каналов кражи данных. Insikt Group оценивает, что TAG-150 продолжит инновации, разработку новых семейств вредоносного ПО и адаптацию новых приватных решений для продолжения атак на организации по всему миру.
