MontysTre

MontysThree er navnet, der gives af malwareeksperter til et truende værktøjssæt skrevet i C ++, der består af flere forskellige moduler. Navnet stammer fra 'MT3' betegnelsen, der blev givet til værktøjssættet af dets kriminelle skabere. Værktøjssættet blev observeret brugt som en del af en meget målrettet angrebskampagne. Ifølge forskerne er trusselsaktøren bag angrebet et nyopdaget hacker-kollektiv, da ingen af malware-værktøjerne eller taktikken, teknikkerne og procedurerne (TTP'er) kunne matches med dem, der tilskrives allerede kendt Advanced Persistent Threat (APT). aktører. Et ejendommeligt aspekt af dette nye hacker-kollektivs operationer er, at det er involveret i målrettet virksomhedsspionage og ikke de sædvanlige aktiviteter hos statsstøttede APT'er, der fokuserer mere på telekommunikationsvirksomheder, diplomater eller statslige enheder.

Der er masser af beviser for, at MontysThree er designet til spionage fra virksomheder mod virksomheder i Rusland eller i det mindste virksomheder med base i russisktalende lande. Infosec-forskerne afdækkede, at flere moduler indeholder tekststrenge på russisk eller ser efter kataloger, der kun findes på kyrillisk-lokaliserede Windows-systemer. Hackerne kan have forsøgt at vildlede potentielle forskere ved at implementere e-mail-baserede konti i MontysThrees kommunikation, der foregiver at være af kinesisk oprindelse.

MontysThree er udstyret med brugerdefineret steganografi og en kompleks krypteringsordning

Værktøjssættet viser adskillige unikke egenskaber, hvilket gør det til en temmelig sjælden trussel blandt de andre truende værktøjer derude. For det første består den af flere moduler, som hver især er ansvarlige for specifikke opgaver:

• Loader Module - Administrerer udvinding af de steganografikrypterede data fra det bitmapbillede, der bærer det. Det dekrypterede resultat droppes til disken som en fil med navnet 'msgslang32.dll.'
• Kernel Module - Indeholder RSA- og 3DES-krypteringsnøgler, der bruges til konfigurationsdekryptering og under kommunikation med Command-and-Control (C2, C&C) -infrastrukturen. Det udfører også dataindsamlingen ved at indhente visse systemoplysninger såsom OS-version, procesliste og optagelse af skærmbilleder. Det skaffer også en liste over den målrettede brugers seneste dokumenter fra de seneste dokumentmapper, der er placeret i% USERPROFILE% og% APPDATA%. En specifik mappe, der er markeret, er% APPDATA% \ Microsoft \ Office \ Последние файлы.
• HttpTransport-modul - HttpTransport-modulet er placeret inde i kernemobilen og har til opgave at exfiltrere de indsamlede oplysninger. Det kan downloade eller uploade data via RDP-, Citrix-, WebDAV- og HTTP-protokollerne. Det skal bemærkes, at protokollerne ikke implementeres som en del af modulet, og i stedet udnyttes legitime Windows-programmer - Internet Explorer, RDP og Citrix-klienter. Modulet kan også downloade data fra offentlige Cloud-tjenester såsom Google og Dropbox gennem brugertokens.
• LinkUpdate - Ansvarlig for at opnå vedholdenhed på den kompromitterede maskine ved at ændre ' .lnk ' filer i Windows Quick Launch-panelet.

MontyThree spredes gennem phishing-angreb

Det modulære MontyThree-værktøjssæt leveres i selvudpakkende RAR-arkiver. Navnene på disse forgiftede arkiver er designet til at tiltrække opmærksomhed fra russisktalende brugere. Hackerne bruger variationer af 'firmainformationsopdatering' eller 'medicinske analyseresultater.' En fil fik navnet 'Список телефонов сотрудников 2019.doc' (medarbejdertelefonliste), mens andre simpelthen var 'Tech task.pdf' eller 'invitro-106650152-1.pdf' (Invitro er navnet på et russisk medicinsk laboratorium).