—

作者:

2025 年 12 月，資安研究機構發布最新警告，指出威脅組織 GrayBravo 正透過其核心工具 CastleLoader 擴大攻擊範圍。這並非單一的攻擊行動，而是演變為成熟的「惡意軟體即服務（MaaS）」商業模式，將攻擊能力出售給下游犯罪集團，導致威脅面橫跨四大關鍵產業。

值得注意的是，GrayBravo 展現了高度的規避偵測能力，利用合法的遊戲平台 Steam 作為指令控制（C2）的中繼站，讓企業的傳統流量監控形同虛設。

GrayBravo 的攻擊鏈主要由兩個組件構成：載體（Loader）與後門（Backdoor）。

作為初始入侵的載體，CastleLoader 負責在受害者系統中建立立足點。它具備「無檔案（Fileless）」執行的特性，能動態從遠端伺服器下載第二階段的惡意程式，並將其注入至系統記憶體中，減少在硬碟留下數位足跡。

CastleRAT 是此次攻擊的核心亮點。它不僅具備鍵盤側錄、遠端桌面控制等標準間諜功能，其 C2 通訊機制更是經過精心設計：

Dead-Drop 解析器： 惡意程式不會直接連線到駭客的伺服器，而是去讀取特定的 Steam 用戶個人檔案。
隱蔽流量： 攻擊者將 C2 伺服器的 IP 地址加密並隱藏在 Steam 的簡介或評論欄位中。對企業防火牆而言，這只是一筆通往 steamcommunity.com 的合法 HTTPS 流量，因此極難被阻擋。

根據 Recorded Future 的追蹤，GrayBravo 的客戶群已利用此工具發展出四種特定的攻擊模式：

針對 GrayBravo 的戰術行為（TTPs），資安團隊應監控以下指標：

ID	戰術/技術	說明
T1102	Web Service	利用 Steam 或其他合法 Web 服務作為 Dead-Drop Resolver。
T1071	Application Layer Protocol	惡意流量偽裝成正常的 HTTPS 網頁瀏覽。
T1053	Scheduled Task/Job	利用 Windows 排程器確保 CastleRAT 在重開機後持續執行。
T1055	Process Injection	將惡意代碼注入至合法進程（如 explorer.exe）以規避防毒軟體。

面對利用合法服務（如 Steam）進行掩護的攻擊，單純的黑名單阻擋已不足夠。建議採取以下縱深防禦措施：

應用程式白名單與流量管控：
- 在關鍵伺服器（特別是 OT 與金融網段）上，應預設封鎖 Steam、Discord 等非業務相關的遊戲與社群平台網域。
行為分析 (UEBA)：
- 部署 EDR/NDR 系統，監控是否有非瀏覽器進程（如 PowerShell 或不明執行檔）嘗試連線至社群媒體網站。
網路微分割 (Micro-segmentation)：
- 嚴格隔離 IT 與 OT 環境，確保即使辦公區電腦中標，攻擊者也無法透過 RDP 跳板進入生產線網路。
威脅獵捕 (Threat Hunting)：
- 主動搜尋是否有程式在解析不明的 Steam 個人頁面，或檢查 Windows 排程任務中是否有可疑的啟動指令。