Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware MonsterV2

Malware MonsterV2

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti nedávno odhalili dříve nezdokumentovaného aktéra hrozby, sledovaného jako TA585, který provozoval sofistikované phishingové a webové injection kampaně s cílem šířit běžně dostupnou malwarovou rodinu známou jako MonsterV2.

TA585 – Operátor, který vlastní celý řetězec zabíjení

TA585 vyniká tím, že zdánlivě kontroluje celý svůj útočný řetězec od začátku do konce. Místo nákupu distribuce, pronájmu přístupu od zprostředkovatelů počátečního přístupu nebo spoléhání se na služby třetích stran pro správu provozu spravuje TA585 svou vlastní infrastrukturu, mechanismy doručování a instalační nástroje. Analytici popisují cluster jako sofistikovaný: aktér používá webové injekcie, filtrování a kontroly prostředí a více technik doručování, aby maximalizoval úspěch a vyhnul se analýze.

Phishing, ClickFix a návnady na téma IRS – příručka sociálního inženýrství
Rané kampaně se spoléhaly na klasické phishingové návnady s tématem amerického daňového úřadu (IRS). Cíle dostávaly zprávy odkazující na falešné URL adresy, které otevíraly PDF; tento PDF obsahoval odkaz na webovou stránku používající taktiku sociálního inženýrství ClickFix. ClickFix oklame oběť, aby spustila příkaz prostřednictvím dialogového okna Spustit ve Windows nebo terminálu PowerShellu, který poté spustí následný skript PowerShellu pro stažení a nasazení MonsterV2.

Webové injekce a falešné překryvy CAPTCHA

V následných vlnách, které byly pozorovány v dubnu 2025, se TA585 přesunul k napadení legitimních webových stránek prostřednictvím škodlivých JavaScriptových injekcí. Tyto injekce vytvářely falešné ověřovací překryvy CAPTCHA, které opět spouštěly proces ClickFix a nakonec spouštěly příkaz PowerShellu pro stažení a spuštění malwaru. JavaScriptová injekce a související infrastruktura (zejména intlspring.com) byly také spojovány s distribucí dalších stealerů, včetně Rhadamanthys Stealer.

Zneužívání GitHubu a falešná bezpečnostní oznámení

Třetí sada kampaní TA585 zneužila mechanismus notifikací GitHubu: aktér označoval uživatele GitHubu v podvodných „bezpečnostních“ oznámeních, která obsahovala URL adresy směrující oběti na stránky ovládané aktérem. Tato falešná upozornění GitHubu byla dalším vektorem použitým k navedení obětí do stejného řetězce ClickFix/PowerShell.

Rámec CoreSecThree – páteř dodávek

Klastry aktivit web-inject a falešné útoky na GitHub byly spojovány s CoreSecThree, což je framework charakterizovaný výzkumníky jako „sofistikovaný“ a používaný od února 2022. CoreSecThree byl důsledně používán k šíření stealerového malwaru v rámci více kampaní.

MonsterV2 — Počátky a varianty

MonsterV2 je víceúčelová hrozba: trojský kůň pro vzdálený přístup (RAT), zloděj a zavaděč. Výzkumníci se s jeho inzercí na kriminálních fórech poprvé setkali v únoru 2025. Je také označován jako „Aurotun Stealer“ (chybná zkratka pro „autorun“) a dříve byl distribuován prostřednictvím CastleLoaderu (známého také jako CastleBot). Dřívější iterace aktivity TA585 šířily Lumma Stealer před přechodem na MonsterV2 začátkem roku 2025.

Komerční model a geofencing

MonsterV2 prodává rusky mluvící operátor. Ceny na kriminálních tržištích: Standard edice stojí 800 USD měsíčně a Enterprise edice 2 000 USD měsíčně. Enterprise verze zahrnuje stealer + loader, podporu Hidden VNC (HVNC) a Chrome DevTools Protocol (CDP). Komponenta stealer je nakonfigurována tak, aby se zabránilo infikování zemí Společenství nezávislých států (SNS).

Balení, antianalýza a chování za běhu

MonsterV2 je obvykle vybaven kryptovacím programem v C++ s názvem SonicCrypt. SonicCrypt poskytuje vrstvené antianalytické kontroly před dešifrováním a načtením datové části, což umožňuje vyhýbání se detekci. Za běhu datová část dešifruje, rozpoznává požadované funkce Windows API a pokouší se o zvýšení oprávnění. Poté dekóduje vestavěnou konfiguraci, která mu instruuje, jak kontaktovat jeho Command-and-Control (C2) a jaké akce má provést.

Mezi konfigurační příznaky používané MonsterV2 patří:

  • anti_dbg — pokud je hodnota True, malware se pokouší detekovat a vyhnout se ladicím programům.
  • anti_sandbox – pokud je hodnota True, malware se pokusí detekovat sandbox a použije základní techniky anti-sandbox.
  • aurotun — pokud je hodnota True, malware se pokusí o trvalé připojení (překlep je zdrojem názvu „Aurotun“).
  • priviledge_escalation — pokud je hodnota True, malware se pokusí zvýšit oprávnění na hostiteli.

Networking a chování C2

Pokud MonsterV2 úspěšně dosáhne svého C2, nejprve odešle základní systémovou telemetrii a geolokační informace dotazem na veřejnou službu (výzkumníci pozorovali požadavky na api.ipify.org). Odpověď C2 obsahuje příkazy, které je třeba spustit. V některých pozorovaných operacích byly datové části odeslané MonsterV2 nakonfigurovány tak, aby používaly stejný server C2 jako ostatní datové části (například StealC), ačkoli tyto další kampaně nebyly přímo přiřazeny TA585.

Zdokumentované schopnosti MonsterV2 jsou:

  • Ukradnout citlivá data a odnést je na server.
  • Spouštějte libovolné příkazy pomocí cmd.exe nebo PowerShellu.
  • Ukončit, pozastavit nebo obnovit procesy.
  • Navažte HVNC připojení k infikovanému hostiteli.
  • Pořizujte snímky obrazovky plochy.
  • Spusťte keylogger.
  • Výčet, manipulace, kopírování a exfiltrace souborů.
  • Vypněte nebo zhrouťte systém.
  • Stažení a spuštění datových souborů další fáze (pozorované příklady: StealC a Remcos RAT).

Pokyny pro zmírňování a detekci

Obránci by měli TA585 považovat za schopného, vertikálně integrovaného operátora, který kombinuje sociální inženýrství, kompromitaci webů a vrstvené techniky anti-analýzy. Mezi detekční možnosti patří: monitorování podezřelé aktivity dialogových oken PowerShell/Run pocházející z webových toků, identifikace anomálních JavaScriptových injekcí na legitimních webech, blokování známých binárních souborů zabalených v SonicCrypt pomocí behaviorálních detekcí a označování neočekávaných připojení HVNC/vzdáleného ovládání a vzorců exfiltrace souborů. Monitorování komunikace s neobvyklými hostiteli C2 a dotazy na veřejné služby pro zjišťování IP adres (např. api.ipify.org) ve spojení s odchozími datovými přenosy může také odhalit infekce.

Shrnutí

TA585 představuje odolného aktéra hrozby, který si udržuje kontrolu nad distribucí, doručováním a provozem datových úložišť. Kombinací phishingu, vkládání JavaScriptu na úrovni webu, falešných překryvů CAPTCHA a komerčního datového úložiště MonsterV2 (s balíčkem SonicCrypt) sestavil akter spolehlivou, vícevektorovou schopnost krádeže dat a vzdálené správy. Vzhledem k provozní vyspělosti aktéra a modulární sadě funkcí MonsterV2 by organizace měly upřednostňovat detekci spouštění příkazů z webu, řetězců stahování a provádění v PowerShellu, binárních souborů zabalených v SonicCrypt a podezřelé aktivity HVNC nebo exfiltrace.

Trendy

Nejvíce shlédnuto

Načítání...