Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер MonsterV2

Зловреден софтуер MonsterV2

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Изследователи по киберсигурност наскоро разкриха недокументиран досега злонамерен персонаж, проследяван като TA585, който е провеждал сложни фишинг и уеб инжектиращи кампании, за да разпространява готово семейство зловреден софтуер, известно като MonsterV2.

TA585 - Оператор, който притежава пълната верига за убийства

TA585 се откроява, защото изглежда контролира цялата си верига за атаки от край до край. Вместо да купува дистрибуция, да наема достъп от брокери за първоначален достъп или да разчита на услуги за трафик на трети страни, TA585 управлява собствената си инфраструктура, механизми за доставка и инструменти за инсталиране. Анализаторите описват клъстера като сложен: участникът използва уеб инжекции, филтриране и проверки на средата, както и множество техники за доставка, за да увеличи максимално успеха и да избегне анализ.

Фишинг, ClickFix и примамки, свързани с IRS — наръчникът със социално инженерство
Ранните кампании разчитаха на класически фишинг примамки, свързани с американската Служба за вътрешни приходи (IRS). Целите получаваха съобщения, сочещи към фалшиви URL адреси, които отваряха PDF файл; този PDF файл съдържаше връзка към уеб страница, използваща тактиката за социално инженерство ClickFix. ClickFix подвежда жертвата да изпълни команда чрез диалоговия прозорец „Изпълнение“ на Windows или PowerShell терминал, който след това изпълнява последващ PowerShell скрипт, за да изтегли и разположи MonsterV2.

Уеб инжекции и фалшиви CAPTCHA наслагвания

В последвалите вълни, наблюдавани през април 2025 г., TA585 се насочи към компрометиране на легитимни уебсайтове чрез злонамерени JavaScript инжекции. Тези инжекции създаваха фалшиви CAPTCHA проверки, които отново задействаха потока ClickFix и в крайна сметка стартираха PowerShell команда за изтегляне и стартиране на зловредния софтуер. JavaScript инжекцията и свързаната с нея инфраструктура (по-специално intlspring.com) също са свързани с разпространението на други крадци на код, включително Rhadamanthys Stealer.

Злоупотреба с GitHub и фалшиви известия за сигурност

Трети набор от кампании TA585 злоупотреби с механизмите за известяване на GitHub: актьорът маркира потребители на GitHub в измамни известия за „сигурност“, които съдържаха URL адреси, насочващи жертвите към контролирани от актьора сайтове. Тези фалшиви известия на GitHub бяха друг вектор, използван за насочване на жертвите към същата верига ClickFix/PowerShell.

CoreSecThree Framework — Гръбнакът на доставките

Клъстерите от дейности, свързани с уеб-инжектиране и фалшиви GitHub атаки, са свързани с CoreSecThree, рамка, характеризирана от изследователите като „сложна“ и използвана от февруари 2022 г. CoreSecThree се използва постоянно за разпространение на зловреден софтуер за кражба на данни в множество кампании.

MonsterV2 — Произход и варианти

MonsterV2 е многофункционална заплаха: троянски кон за отдалечен достъп (RAT), крадец на програми и зареждащ софтуер. Изследователите за първи път го видяха рекламиран в криминални форуми през февруари 2025 г. Той е наричан още „Aurotun Stealer“ (неправилно изписване на „autorun“) и преди това е бил разпространяван чрез CastleLoader (известен също като CastleBot). По-ранни версии на активността на TA585 разпространяваха Lumma Stealer преди преминаването към MonsterV2 в началото на 2025 г.

Търговски модел и геозониране

MonsterV2 се продава от рускоезичен оператор. Цените, наблюдавани на криминални пазари: Standard издание - 800 щатски долара на месец, а Enterprise издание - 2000 щатски долара на месец. Enterprise изданието включва stealer + loader, Hidden VNC (HVNC) и поддръжка на Chrome DevTools Protocol (CDP). Компонентът stealer е конфигуриран да избягва заразяване на страни от Общността на независимите държави (ОНД).

Опаковане, антианализ и поведение по време на изпълнение

MonsterV2 обикновено е снабден с C++ криптиращ инструмент, наречен SonicCrypt. SonicCrypt предоставя многопластови анти-анализ проверки преди декриптиране и зареждане на полезния товар, което позволява избягване на откриването. По време на изпълнение полезният товар се декриптира, разрешава функциите на Windows API, които са му необходими, и се опитва да увеличи привилегиите си. След това декодира вградена конфигурация, която му инструктира как да се свърже с неговия Command-and-Control (C2) и какви действия да предприеме.

Конфигурационните флагове, използвани от MonsterV2, включват:

  • anti_dbg — когато е True, зловредният софтуер се опитва да открие и избегне дебъгерите.
  • anti_sandbox — когато е True, зловредният софтуер се опитва да открие пясъчник и използва рудиментарни техники за защита от пясъчник.
  • aurotun — когато е True, зловредният софтуер се опитва да установи постоянство (грешката в правописа е източникът на името „Aurotun“).
  • priviledge_escalation — когато е True, зловредният софтуер се опитва да повиши привилегиите на хоста.

Работа в мрежа и поведение на C2

Ако MonsterV2 успешно достигне своя C2, първо изпраща основна системна телеметрия и геолокация, като отправя заявка към публична услуга (изследователите са наблюдавали заявки към api.ipify.org). Отговорът на C2 съдържа командите за изпълнение. В някои наблюдавани операции, полезните товари, пуснати от MonsterV2, са били конфигурирани да използват същия C2 сървър като други полезни товари (например StealC), въпреки че тези други кампании не са били пряко свързани с TA585.

Документираните възможности на MonsterV2 са:

  • Откраднете чувствителни данни и ги изнесете на сървъра.
  • Изпълнявайте произволни команди чрез cmd.exe или PowerShell.
  • Прекратяване, спиране или възобновяване на процеси.
  • Установете HVNC връзки със заразения хост.
  • Заснемане на екранни снимки на работния плот.
  • Пуснете кейлогър.
  • Изброяване, манипулиране, копиране и извличане на файлове.
  • Изключете или сринете системата.
  • Изтегляне и изпълнение на полезни товари от следващия етап (наблюдавани примери: StealC и Remcos RAT).

Ръководство за смекчаване и откриване

Защитниците трябва да третират TA585 като способен, вертикално интегриран оператор, който съчетава социално инженерство, компрометиране на сайтове и многопластови техники за анти-анализ. Възможностите за откриване включват: наблюдение за подозрителна активност в диалоговия прозорец PowerShell/Run, произхождаща от уеб-базирани потоци, идентифициране на аномални инжекции на JavaScript в легитимни сайтове, блокиране на известни двоични файлове, пакетирани със SonicCrypt, чрез поведенчески детекции и маркиране на неочаквани HVNC/дистанционни връзки и модели на изтичане на файлове. Мониторингът на комуникации към необичайни C2 хостове и заявки към публични услуги за откриване на IP адреси (напр. api.ipify.org) във връзка с изходящи трансфери на данни също може да разкрие инфекции.

Обобщение

TA585 представлява устойчива хакерска атака, която запазва контрол върху разпространението, доставката и операциите с полезния товар. Чрез комбиниране на фишинг, инжектиране на JavaScript на ниво сайт, фалшиви CAPTCHA наслагвания и търговския полезен товар MonsterV2 (включващ SonicCrypt), хакерът е изградил надеждна, многовекторна способност за кражба на данни и дистанционно управление. Предвид оперативната зрялост на хакера и модулния набор от функции на MonsterV2, организациите трябва да дадат приоритет на откриването на стартиране на команди, управлявани от уеб, вериги за изтегляне и изпълнение на PowerShell, двоични файлове, пакетирани със SonicCrypt, и подозрителна HVNC или дейност за ексфилтрация.

Тенденция

Измама с награди за гласуване по протокола ApeX

Измамни уебсайтове
Мрежата е пълна с убедителни имитации и внимателно инсценирани капани. Измамниците рутинно клонират легитимни крипто сайтове и използват познати дизайнерски елементи, за да приспят хората с фалшиво...

Най-гледан

Зареждане...