كشف خبراء الأمن السيبراني عن ظهور برمجية خبيثة متطورة تُعرف باسم CastleLoader، تشكل تهديداً جسيماً للمؤسسات الحكومية الأمريكية والبنى التحتية الحيوية. تم رصد هذه البرمجية لأول مرة في بدايات عام 2025، واستُخدمت كنقطة وصول أولية في هجمات منسقة استهدفت قطاعات متعددة، بما في ذلك الهيئات الفيدرالية، وشركات تكنولوجيا المعلومات، ومقدمي الخدمات اللوجستية، ومزودي البنية التحتية الأساسية في جميع أنحاء أمريكا الشمالية وأوروبا.
تشير تحليلات الباحثين الأمنيين إلى أن حملة واحدة من CastleLoader أثرت على حوالي 460 منظمة مختلفة، مع تركيز خاص على اختراق الأنظمة الحكومية في الولايات المتحدة. تعمل هذه البرمجية كحمّالة متعددة المراحل، تقوم بتوصيل حمولات ثانوية مباشرة إلى ذاكرة النظام، مما يجعل اكتشافها من قبل الدفاعات الأمنية التقليدية أمراً بالغ الصعوبة.
CastleLoader: التهديد الخفي للبنية التحتية الحيوية
تتمثل الوظيفة الأساسية لـ CastleLoader في إنشاء موطئ قدم أولي داخل الأنظمة المخترقة، وبعد ذلك تقوم بنشر أدوات أكثر خطورة، مثل أدوات سرقة المعلومات وأحصنة طروادة للوصول عن بعد، والتي تمنح المهاجمين سيطرة كاملة على الشبكات المصابة. وقد جعلت طبيعة هذه البرمجية العالمية ومعدل إصابتها المرتفع منها أداة مفضلة لدى الجهات الخبيثة التي تسعى لاختراق أهداف ذات قيمة عالية مع التهرب من أنظمة الكشف.
آلية عمل CastleLoader
يعتمد مسار الهجوم لـ CastleLoader عادةً على تقنيات الهندسة الاجتماعية المعروفة باسم “ClickFix”، حيث يتم خداع الضحايا من خلال رسائل تحديث وهمية للبرامج أو رسائل التحقق من النظام. عندما يوافق المستخدمون على هذه الطلبات المزيفة، يقومون عن غير قصد بتنفيذ أوامر خبيثة تقوم بتوصيل CastleLoader كمرحلة ثانية في سلسلة الهجوم. لقد أثبت هذا النهج المخادع فعاليته بشكل ملحوظ في تجاوز تدريب الوعي الأمني لدى المستخدمين والضوابط الأمنية الأولية.
لاحظ محللو وباحثو Any.Run البنية المتطورة للبرمجية خلال تحقيقهم المفصل، حيث حددوا سلسلة تنفيذ مُنسقة بعناية ومصممة خصيصاً للتهرب من أدوات الأمان الحديثة. وكشفت التحليلات أن CastleLoader لا تعمل كملف تنفيذي بسيط، بل تعتمد على نهج طبقي معقد يجعل كل مرحلة تبدو بريئة نسبياً عند الفحص الأولي.
هذه الطريقة تسمح للبرمجية الخبيثة بتوزيع نشاطها الضار عبر عمليات متعددة تبدو مشروعة، مما يجعلها تتخفى بفعالية في الأماكن الظاهرة. ونتيجة لذلك، فإن أنظمة المراقبة الأمنية التي تعتمد على تحليل سلوك العمليات تواجه صعوبة، حيث تبدو كل مكون على حدة ضمن النطاق الطبيعي.
سلسلة الإصابة وآليات التهرب
تمثل آلية إصابة CastleLoader درساً في التخفي والإخفاء. تصل البرمجية الخبيثة مُعبأة كملف تثبيت Inno Setup يحتوي على مكونات متعددة، بما في ذلك AutoIt3.exe وسكربت AutoIt مُجمّع ومُخزن بصيغة freely.a3x. عند التنفيذ، يبدأ سكربت AutoIt في المرحلة التالية الحاسمة: تشغيل عملية jsc.exe (مُجمّع JScript.NET شرعي) مع علامة CREATE_SUSPENDED، والتي توقف العملية فور إنشائها.
وبدلاً من التنفيذ في هذه الحالة المعلقة، تُطبق البرمجية تقنية مُحسّنة من “تفرّغ العملية” (process hollowing)، والتي تقوم بحقن ملف تنفيذي PE وظيفي بالكامل مباشرة في مساحة ذاكرة jsc.exe. تتبع هذه التقنية التسلسل التالي: أولاً، يتم تخصيص الذاكرة داخل العملية المستهدفة باستخدام VirtualAllocEX بأذونات PAGE_EXECUTE_READWRITE، مما يسمح بتنفيذ التعليمات البرمجية من المنطقة المخصصة حديثاً.
بعد ذلك، يتم كتابة صورة PE الخبيثة في منطقة الذاكرة هذه باستخدام WriteProcessMemory. تقوم البرمجية بعد ذلك باستخراج عنوان PEB (Process Environment Block) والكتابة فوق حقل ImageBaseAddress، مما يضمن تحميل الشفرة المحقونة في موقع الذاكرة الصحيح.
يختلف هذا النهج عن تقنيات تفرّغ العملية التقليدية، التي تستخدم عادةً NtUnmapViewOfSection لإزالة ذاكرة العملية الأصلية. بالتغاضي عن هذه الخطوة، تتجنب CastleLoader تشغيل آليات الكشف التي تراقب نمط النشاط المشبوه هذا. تشمل المراحل النهائية SetThreadContext لإعادة توجيه التنفيذ إلى نقطة دخول الحمولة المحقونة، تليها ResumeThread لبدء التنفيذ.
هذا التسلسل بأكمله يحافظ على الشفرة الخبيثة محصورة في الذاكرة دون إنشاء آثار مشبوهة على القرص حتى تكتمل عملية التهيئة. والنتيجة هي وحدة برمجية خبيثة وظيفية بالكامل توجد فقط في مساحة ذاكرة العملية المستهدفة بعد تعديلها، مما يجعل الكشف الثابت التقليدي القائم على التوقيع غير فعال.
أنظمة المراقبة الأمنية التي تعتمد على تحليل سلوك العمليات تواجه صعوبات، حيث أن كل مكون فردي يبدو مشروعاً عند فحصه بشكل منفصل. إن التوقيعات الثابتة للملفات، والقواعد الاستدلالية السلوكية، وأنظمة مراقبة العمليات التقليدية تثبت عجزها عن اكتشاف نموذج التنفيذ المتطور هذا. هذا يجعل CastleLoader تهديداً خطيراً للغاية للمنظمات التي تفتقر إلى قدرات الكشف الحديثة القائمة على الذاكرة وحلول الكشف والاستجابة لنقاط النهاية (EDR).