🛡️ CRATU фиксирует активное использование CastleLoader: MaaS-загрузчик GrayBravo (ранее TAG-150) атакует госсектор и критическую инфраструктуру 🛰️ Подразделение CRATU зарегистрировало новые образцы CastleLoader — современного MaaS-загрузчика, активно распространяемого в 2025–2026 годах. Согласно отчёту Recorded Future Insikt Group (декабрь 2025), угроза GrayBravo (ранее TAG-150) использует четыре отдельных кластера активности. CastleLoader распространяется через ClickFix, фейковые сайты с приманками под Booking.com и логистику, malvertising, а также через поддельные GitHub-репозитории и цепочки fake-update. В публично описанных кластерах CastleLoader использовался для доставки различных second-stage payloads, включая CastleRAT, Matanbuchus и другие вредоносные модули. Анализ ANY.RUN (январь 2026) подтверждает многостадийную цепочку: Inno Setup → AutoIt → process hollowing в jsc.exe. Твои IOC (SHA256): 8B7C1657F4D5CF0CC82D68C1F1A385ADF0DE27D46FC544BBA249698E6B427856 FDDC186F3E5E14B2B8E68DDBD18B2BDA41D38A70417A38E67281EB7995E24BAC DFAF277D54C1B1CF5A3AF80783ED878CAC152FF2C52DBF17FB05A7795FE29E79 🎯 Тактики, техники и процедуры (MITRE ATT&CK): 🔤 T1204.002 — User Execution: Malicious File 🔤T1055 — Process Injection 🔤T1218.010 — Regsvr32 🔤T1059.001 — PowerShell 🔤T1071.001 — Application Layer Protocol: Web Protocols 🔤T1105 — Ingress Tool Transfer 🛡 Рекомендации по детектированию Для выявления данной активности рекомендуется реализовать корреляционное правило, объединяющее следующие признаки: 📥 Запуск Inno Setup или AutoIt-компонентов из пользовательского каталога (Downloads, Temp, AppData) ⚙️ Последующий запуск jsc.exe 🔗 Исходящие соединения от jsc.exe или связанных child-процессов 🧩 Запуск LOLBins — powershell.exe, regsvr32.exe, mshta.exe 🧠 Совпадение по хэшу файла из IOC Поведенческое условие: Если в течение 2 минут после запуска исполняемого файла из пользовательского каталога происходит переход к jsc.exe и далее фиксируется сетевой выход или запуск LOLBin — зафиксировать инцидент как подозрительную начальную загрузку. 👁‍🗨 Следите за обновлениями CRATU — мы продолжаем отслеживать GrayBravo и дополняем базу IOC в реальном времени.