برنامج MonsterV2 الخبيث
كشف باحثو الأمن السيبراني مؤخرًا عن جهة تهديد لم يتم توثيقها سابقًا، تم تعقبها باسم TA585، والتي كانت تدير حملات تصيد احتيالي وحقن ويب متطورة لتقديم عائلة من البرامج الضارة الجاهزة المعروفة باسم MonsterV2.
جدول المحتويات
TA585 — مشغل يمتلك سلسلة القتل الكاملة
يتميز TA585 بأنه يبدو متحكمًا بسلسلة هجماته بالكامل. فبدلًا من شراء التوزيع، أو استئجار الوصول من وسطاء الوصول الأولي، أو الاعتماد على خدمات حركة مرور خارجية، يُدير TA585 بنيته التحتية الخاصة، وآليات التسليم، وأدوات التثبيت. يصف المحللون هذه المجموعة بأنها متطورة: إذ يستخدم المهاجم حقن الويب، والتصفية، وفحص البيئة، وتقنيات تسليم متعددة لتحقيق أقصى قدر من النجاح وتجنب التحليل.
التصيد الاحتيالي، وClickFix، والإغراءات ذات الطابع الضريبي - دليل الهندسة الاجتماعية
اعتمدت الحملات الأولى على أساليب تصيد احتيالي تقليدية مستوحاة من دائرة الإيرادات الداخلية الأمريكية (IRS). تلقى المستهدفون رسائل تُشير إلى عناوين URL مزيفة، والتي فتحت ملف PDF؛ احتوى هذا الملف على رابط لصفحة ويب استخدمت تكتيك الهندسة الاجتماعية ClickFix. يخدع ClickFix الضحية لتشغيل أمر عبر نافذة تشغيل Windows أو نافذة طرفية PowerShell، والتي تُنفّذ بدورها نصًا برمجيًا تابعًا لـ PowerShell لاستخراج MonsterV2 ونشره.
حقن الويب وتراكبات CAPTCHA المزيفة
في الموجات اللاحقة التي شُهدت في أبريل 2025، انتقل TA585 إلى اختراق مواقع ويب شرعية عبر عمليات حقن جافا سكريبت خبيثة. أنتجت هذه العمليات تراكبات تحقق CAPTCHA مزيفة، مما أدى إلى تفعيل تدفق ClickFix، وفي النهاية أطلق أمر PowerShell لتنزيل البرنامج الخبيث وتشغيله. كما رُبط حقن جافا سكريبت والبنية التحتية المرتبطة به (ولا سيما intlspring.com) بانتشار برامج سرقة أخرى، بما في ذلك Rhadamanthys Stealer.
إساءة استخدام GitHub وإشعارات الأمان الزائفة
مجموعة ثالثة من حملات TA585 أساءت استخدام آليات إشعارات GitHub: قام الفاعل بوضع علامات على مستخدمي GitHub في إشعارات "أمنية" احتيالية تحتوي على عناوين URL تُوجّه الضحايا إلى مواقع يتحكم بها الفاعل. كانت هذه التنبيهات الوهمية على GitHub وسيلة أخرى استُخدمت لجذب الضحايا إلى نفس سلسلة ClickFix/PowerShell.
إطار عمل CoreSecThree — العمود الفقري للتسليم
تم ربط مجموعات نشاط web-inject وfake-GitHub بـ CoreSecThree، وهو إطار عمل وصفه الباحثون بأنه "متطور" ويُستخدم منذ فبراير 2022. وقد تم استخدام CoreSecThree باستمرار لنشر برامج ضارة سارقة عبر حملات متعددة.
MonsterV2 — الأصول والمتغيرات
MonsterV2 تهديد متعدد الأغراض: حصان طروادة للوصول عن بُعد (RAT)، وسرقة، ومُحمّل. لاحظ الباحثون الإعلان عنه لأول مرة في المنتديات الإجرامية في فبراير 2025. يُشار إليه أيضًا باسم "Aurotun Stealer" (وهو خطأ إملائي في كلمة "autorun")، وقد تم توزيعه سابقًا عبر CastleLoader (المعروف أيضًا باسم CastleBot). نشرت الإصدارات السابقة من نشاط TA585 برنامج Lumma Stealer قبل التحول إلى MonsterV2 في أوائل عام 2025.
النموذج التجاري والسياج الجغرافي
يُباع MonsterV2 بواسطة مُشغّل ناطق بالروسية. الأسعار المُلاحظة في أسواق البرامج الضارة: الإصدار القياسي بسعر 800 دولار أمريكي شهريًا، وإصدار Enterprise بسعر 2000 دولار أمريكي شهريًا. يتضمن إصدار Enterprise دعمًا لـ Stealer + Loader، وHidden VNC (HVNC)، وبروتوكول Chrome DevTools (CDP). مُكوّن Stealer مُهيأ لتجنب إصابة دول رابطة الدول المستقلة (CIS).
التعبئة، والتحليل المضاد، وسلوك وقت التشغيل
عادةً ما يكون MonsterV2 مزودًا ببرنامج تشفير C++ يُسمى SonicCrypt. يوفر SonicCrypt عمليات فحص متعددة الطبقات لمكافحة التحليل قبل فك التشفير وتحميل الحمولة، مما يُمكّن من تجنب الكشف. أثناء التشغيل، تقوم الحمولة بفك التشفير، وحل وظائف واجهة برمجة تطبيقات Windows التي تتطلبها، ومحاولة رفع الامتيازات. ثم تفك تشفير تكوين مُضمّن يُرشدها إلى كيفية الاتصال بوحدة التحكم (C2) والإجراءات الواجب اتخاذها.
تتضمن علامات التكوين المستخدمة بواسطة MonsterV2 ما يلي:
- anti_dbg — عندما تكون القيمة True، يحاول البرنامج الضار اكتشاف أدوات تصحيح الأخطاء والتهرب منها.
- anti_sandbox — عندما تكون القيمة True، يحاول البرنامج الخبيث اكتشاف صندوق الحماية ويستخدم تقنيات بدائية لمكافحة صندوق الحماية.
- aurotun — عندما تكون القيمة True، يحاول البرنامج الضار إنشاء استمرارية (الخطأ الإملائي هو مصدر اسم "Aurotun").
- priviledge_escalation — عندما تكون القيمة True، يحاول البرنامج الضار رفع الامتيازات على المضيف.
الشبكات وسلوك القيادة والتحكم
إذا نجح MonsterV2 في الوصول إلى مركز التحكم والقيادة (C2)، فإنه يُرسل أولًا بيانات قياس عن بُعد أساسية للنظام وتحديدًا جغرافيًا عبر استعلام خدمة عامة (لاحظ الباحثون طلبات على api.ipify.org). تحتوي استجابة مركز التحكم والقيادة على الأوامر المطلوب تنفيذها. في بعض العمليات المُلاحظة، تم تكوين الحمولات المُسقطة بواسطة MonsterV2 لاستخدام خادم مركز التحكم والقيادة نفسه الذي تستخدمه حمولات أخرى (مثل StealC)، مع أن هذه الحملات الأخرى لم تُنسب مباشرةً إلى TA585.
القدرات الموثقة لـ MonsterV2 هي:
إرشادات التخفيف والكشف
ينبغي على المدافعين التعامل مع TA585 كمشغل قادر ومتكامل رأسيًا، يجمع بين الهندسة الاجتماعية، واختراق المواقع، وتقنيات التحليل المضاد متعددة الطبقات. تشمل فرص الكشف: مراقبة نشاط حوار PowerShell/Run المشبوه الناتج عن تدفقات الويب، وتحديد عمليات حقن JavaScript الشاذة على المواقع الشرعية، وحظر الملفات الثنائية المعروفة المحمّلة بـ SonicCrypt عبر عمليات الكشف السلوكية، والإبلاغ عن اتصالات HVNC/التحكم عن بُعد غير المتوقعة وأنماط استخراج الملفات. قد تكشف مراقبة الاتصالات مع مضيفات C2 غير المعتادة والاستعلامات إلى خدمات اكتشاف IP العامة (مثل api.ipify.org) بالتزامن مع عمليات نقل البيانات الصادرة عن الشبكة عن وجود إصابات.
ملخص
يُمثل TA585 جهة تهديد مرنة تحتفظ بالسيطرة على التوزيع والتسليم وتشغيل الحمولة. من خلال الجمع بين التصيد الاحتيالي، وحقن جافا سكريبت على مستوى الموقع، وتراكبات CAPTCHA المزيفة، وحمولة MonsterV2 التجارية (المُزودة بـ SonicCrypt)، تمكّنت الجهة الفاعلة من بناء قدرة موثوقة ومتعددة المتجهات لسرقة البيانات والتحكم عن بُعد. نظرًا للنضج التشغيلي للجهة الفاعلة ومجموعة الميزات المعيارية لـ MonsterV2، ينبغي على المؤسسات إعطاء الأولوية للكشف عن عمليات إطلاق الأوامر عبر الويب، وسلاسل التنزيل والتنفيذ في PowerShell، والملفات الثنائية المُزودة بـ SonicCrypt، وأنشطة HVNC أو الاستخراج المشبوهة.
