Rabattilbud med flere licenser
Trusseldatabase Malware MonsterV2-malware

MonsterV2-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har for nylig afsløret en hidtil udokumenteret trusselsaktør, sporet som TA585, der har kørt sofistikerede phishing- og webinjektionskampagner for at levere en standard malware-familie kendt som MonsterV2.

TA585 — En operatør, der ejer hele kill chain-kæden

TA585 skiller sig ud, fordi den tilsyneladende kontrollerer hele sin angrebskæde end-to-end. I stedet for at købe distribution, lease adgang fra initial access-mæglere eller stole på tredjeparts trafiktjenester, administrerer TA585 sin egen infrastruktur, leveringsmekanismer og installationsværktøjer. Analytikere beskriver klyngen som sofistikeret: aktøren bruger webinjektioner, filtrering og miljøtjek samt flere leveringsteknikker for at maksimere succes og undgå analyse.

Phishing, ClickFix og IRS-inspirerede lokkemidler – den sociale manipulationsstrategi
Tidlige kampagner var baseret på klassiske phishing-lokkemidler med fokus på den amerikanske skattemyndighed (IRS). Målene modtog beskeder, der pegede på falske URL'er, som åbnede en PDF-fil; denne PDF-fil indeholdt et link til en webside, der brugte ClickFix' social engineering-taktik. ClickFix narrer et offer til at køre en kommando via Windows Kør-dialogboksen eller en PowerShell-terminal, som derefter udfører et efterfølgende PowerShell-script for at hente og implementere MonsterV2.

Webinjektioner og falske CAPTCHA-overlays

I efterfølgende bølger set i april 2025 gik TA585 over til at kompromittere legitime websteder via ondsindede JavaScript-injektioner. Disse injektioner producerede falske CAPTCHA-verifikationsoverlejringer, der igen udløste ClickFix-flowet og i sidste ende lancerede en PowerShell-kommando for at downloade og starte malwaren. JavaScript-injektionen og relateret infrastruktur (især intlspring.com) er også blevet forbundet med distribution af andre stealers, herunder Rhadamanthys Stealer.

GitHub-misbrug og falske sikkerhedsmeddelelser

Et tredje sæt TA585-kampagner misbrugte GitHubs notifikationsmekanismer: Aktøren taggede GitHub-brugere i falske 'sikkerheds'-meddelelser, der indeholdt URL'er, der dirigerede ofre til aktørkontrollerede websteder. Disse falske GitHub-advarsler var en anden vektor, der blev brugt til at drive ofre ind i den samme ClickFix/PowerShell-kæde.

CoreSecThree Framework — Leveringsrygraden

Aktivitetsklyngerne web-inject og fake-GitHub har været forbundet med CoreSecThree, et framework, der af forskere er karakteriseret som 'sofistikeret' og har været i brug siden februar 2022. CoreSecThree er konsekvent blevet brugt til at sprede stealer-malware på tværs af flere kampagner.

MonsterV2 — Oprindelse og varianter

MonsterV2 er en multifunktionel trussel: en fjernadgangstrojaner (RAT), stjæler og loader. Forskere så den første gang blive annonceret på kriminelle fora i februar 2025. Den kaldes også 'Aurotun Stealer' (en stavefejl af 'autorun') og er tidligere blevet distribueret via CastleLoader (også kendt som CastleBot). Tidligere iterationer af TA585-aktivitet distribuerede Lumma Stealer før en overgang til MonsterV2 i begyndelsen af 2025.

Kommerciel model og geofencing

MonsterV2 sælges af en russisktalende operatør. Priser observeret på kriminelle markedspladser: Standard-udgaven til 800 USD pr. måned og Enterprise-udgaven til 2.000 USD pr. måned. Enterprise-niveauet inkluderer stealer + loader, Hidden VNC (HVNC) og Chrome DevTools Protocol (CDP) support. Stealer-komponenten er konfigureret til at undgå at inficere lande i Samfundet af Uafhængige Stater (CIS).

Pakning, antianalyse og runtime-adfærd

MonsterV2 er typisk pakket med en C++-krypter ved navn SonicCrypt. SonicCrypt leverer lagdelte anti-analysekontroller før dekryptering og indlæsning af nyttelasten, hvilket muliggør detektionsunddragelse. Under kørsel dekrypterer nyttelasten, løser de Windows API-funktioner, den kræver, og forsøger rettighedsudvidelse. Den afkoder derefter en integreret konfiguration, der instruerer den i, hvordan den skal kontakte sin Command-and-Control (C2), og hvilke handlinger den skal udføre.

Konfigurationsflaggene, der bruges af MonsterV2, inkluderer:

  • anti_dbg — når den er sand, forsøger malwaren at opdage og omgå debuggere.
  • anti_sandbox — når den er angivet til Sand, forsøger malwaren at detektere en sandbox og bruger rudimentære anti-sandbox-teknikker.
  • aurotun — når den er sand, forsøger malwaren at etablere persistens (stavefejlen er kilden til navnet 'Aurotun').
  • priviledge_escalation — når den er angivet til True, forsøger malwaren at hæve rettighederne på værten.

Netværk og C2-adfærd

Hvis MonsterV2 når sin C2, sender den først grundlæggende systemtelemetri og geolokalisering ved at forespørge en offentlig tjeneste (forskere observerede anmodninger til api.ipify.org). C2-svaret indeholder de kommandoer, der skal udføres. I nogle observerede operationer var MonsterV2-droppede nyttelast konfigureret til at bruge den samme C2-server som andre nyttelast (f.eks. StealC), selvom disse andre kampagner ikke direkte blev tilskrevet TA585.

De dokumenterede funktioner i MonsterV2 er:

  • Stjæl følsomme data og få dem over på serveren.
  • Udfør vilkårlige kommandoer via cmd.exe eller PowerShell.
  • Afslut, suspendér eller genoptag processer.
  • Opret HVNC-forbindelser til den inficerede vært.
  • Tag skærmbilleder fra skrivebordet.
  • Kør en keylogger.
  • Opregn, manipuler, kopier og eksfiltrer filer.
  • Luk systemet ned eller få det til at crashe.
  • Download og udfør næste-trins nyttelast (observerede eksempler: StealC og Remcos RAT).

    • Vejledning til afbødning og detektion

    Forsvarere bør behandle TA585 som en kompetent, vertikalt integreret operator, der blander social engineering, site-kompromittering og lagdelte anti-analyseteknikker. Detektionsmuligheder inkluderer: overvågning af mistænkelig PowerShell/Run-dialogaktivitet, der stammer fra webbaserede flows, identifikation af anomale JavaScript-injektioner på legitime websteder, blokering af kendte SonicCrypt-pakkede binære filer via adfærdsdetektioner og markering af uventede HVNC/fjernstyringsforbindelser og fileksfiltreringsmønstre. Overvågning af kommunikation til usædvanlige C2-værter og forespørgsler til offentlige IP-opdagelsestjenester (f.eks. api.ipify.org) i forbindelse med udgående dataoverførsler kan også afsløre infektioner.

    Oversigt

    TA585 repræsenterer en robust trusselsaktør, der bevarer kontrollen over distribution, levering og drift af nyttelast. Ved at kombinere phishing, JavaScript-injektion på webstedsniveau, falske CAPTCHA-overlays og den kommercielle MonsterV2-nyttelast (pakket med SonicCrypt) har aktøren samlet en pålidelig multivektorfunktion til datatyveri og fjernstyring. I betragtning af aktørens operationelle modenhed og det modulære funktionssæt i MonsterV2 bør organisationer prioritere detektion af webbaserede kommandostarter, PowerShell-download-udførelseskæder, SonicCrypt-pakkede binære filer og mistænkelig HVNC- eller eksfiltreringsaktivitet.

    Trending

    Mest sete

    Indlæser...