Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara MonsterV2 pahavara

MonsterV2 pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Küberjulgeolekuuurijad paljastasid hiljuti varem dokumenteerimata ohutegelase, keda jälgiti kui TA585 ja kes on läbi viinud keerukaid andmepüügi- ja veebisüstimise kampaaniaid, et levitada valmis pahavara perekonda, mida tuntakse MonsterV2 nime all.

TA585 — operaator, kellele kuulub täielik tapmiskett

TA585 paistab silma selle poolest, et see näib kontrollivat kogu oma rünnakuahelat otsast lõpuni. Selle asemel, et osta levitamist, rentida juurdepääsu esmase juurdepääsu vahendajatelt või tugineda kolmandate osapoolte liiklusteenustele, haldab TA585 oma infrastruktuuri, edastusmehaanikat ja installitööriistu. Analüütikud kirjeldavad klastrit keerukana: osaleja kasutab veebisüstimist, filtreerimist ja keskkonnakontrolle ning mitmeid edastustehnikaid edu maksimeerimiseks ja analüüsi vältimiseks.

Andmepüük, ClickFix ja IRS-i-teemalised peibutised – sotsiaalse manipuleerimise käsiraamat
Varased kampaaniad tuginesid klassikalistele andmepüügi peibutistele, mille teemaks oli USA maksuamet (IRS). Sihtmärgid said sõnumeid, mis osutasid võltsitud URL-idele, mis avasid PDF-faili; see PDF sisaldas linki veebilehele, mis kasutas ClickFixi sotsiaalse manipuleerimise taktikat. ClickFix meelitab ohvri käivitama käsu Windowsi käivitamisdialoogi või PowerShelli terminali kaudu, mis seejärel käivitab PowerShelli skripti MonsterV2 juurutamiseks.

Veebisüstid ja võltsitud CAPTCHA-katted

Järgnevates, 2025. aasta aprillis nähtud lainetes hakkas TA585 rikkuma legitiimseid veebisaite pahatahtlike JavaScripti süstide abil. Need süstid tekitasid võltsitud CAPTCHA kinnituskihte, mis käivitasid taas ClickFix-voo ja lõpuks PowerShelli käsu pahavara allalaadimiseks ja käivitamiseks. JavaScripti süsti ja sellega seotud infrastruktuuri (eelkõige intlspring.com) on seostatud ka teiste varastajate, sealhulgas Rhadamanthys Stealeri levitamisega.

GitHubi kuritarvitamine ja võltsitud turvateated

Kolmas TA585 kampaaniate komplekt kuritarvitas GitHubi teavitusmehaanikat: tegutseja sildistas GitHubi kasutajaid petturlikes „turvateadetes”, mis sisaldasid URL-e, mis suunasid ohvreid tegutseja kontrollitud saitidele. Need võltsitud GitHubi hoiatused olid järjekordne vektor, mida kasutati ohvrite samasse ClickFixi/PowerShelli ahelasse suunamiseks.

CoreSecThree raamistik — edastussüsteem

Veebisüstimise ja võltsitud GitHubi tegevusklastrid on seostatud CoreSecThree'iga, mis on teadlaste poolt „keerukas“ raamistik, mida on kasutatud alates 2022. aasta veebruarist. CoreSecThree'i on järjepidevalt kasutatud varastava pahavara levitamiseks mitmete kampaaniate raames.

MonsterV2 — Päritolu ja variandid

MonsterV2 on mitmeotstarbeline oht: kaugjuurdepääsuga trooja (RAT), varastaja ja laadija. Teadlased nägid seda esmakordselt reklaamimas kurjategijate foorumites 2025. aasta veebruaris. Seda nimetatakse ka „Aurotun Stealeriks” (sõna „autorun” valesti kirjutatud vorm) ja seda on varem levitatud CastleLoaderi (tuntud ka kui CastleBot) kaudu. TA585 tegevuse varasemad versioonid levitasid Lumma Stealerit enne 2025. aasta alguse üleminekut MonsterV2-le.

Kommertsmudel ja geopiirded

MonsterV2 müüb venekeelne operaator. Kurjategijate turgudel täheldatud hinnad: Standard versioon 800 USA dollarit kuus ja Enterprise versioon 2000 USA dollarit kuus. Ettevõtte pakett sisaldab varastamiskomponenti koos laaduriga, varjatud VNC (HVNC) ja Chrome DevTools protokolli (CDP) tuge. Varastamiskomponent on konfigureeritud nii, et see ei nakatuks Sõltumatute Riikide Ühenduse (SRÜ) riikidesse.

Pakkimine, analüüsivastane toime ja käitusaegne käitumine

MonsterV2 on tavaliselt kaasas C++ krüpteerija nimega SonicCrypt. SonicCrypt pakub enne kasuliku koormuse dekrüpteerimist ja laadimist kihilisi analüüsivastaseid kontrolle, mis võimaldavad tuvastamisest hoidumist. Käitusajal kasulik koormus dekrüpteerib, lahendab vajalikud Windowsi API funktsioonid ja proovib õigusi tõsta. Seejärel dekodeerib see manustatud konfiguratsiooni, mis annab juhised, kuidas ühendust võtta oma Command-and-Control (C2) üksusega ja milliseid toiminguid teha.

MonsterV2 kasutatavad konfiguratsioonilipud hõlmavad järgmist:

  • anti_dbg – kui see on True, üritab pahavara silujaid tuvastada ja neist mööda hiilida.
  • anti_sandbox – kui see on True, proovib pahavara liivakasti tuvastada ja kasutab elementaarseid liivakastivastaseid tehnikaid.
  • aurotun – kui see on tõene, püüab pahavara püsivust luua (õigekirjaviga on nime „Aurotun” allikas).
  • priviledge_escalation – kui see on True, üritab pahavara hostil õigusi tõsta.

Võrgustiku loomine ja C2 käitumine

Kui MonsterV2 jõuab edukalt oma C2 serverisse, saadab see esmalt avaliku teenuse kaudu päringu abil süsteemi põhilised telemeetria ja geograafilise asukoha andmed (teadlased jälgisid päringuid aadressile api.ipify.org). C2 vastus sisaldab täidetavaid käske. Mõnes vaadeldud operatsioonis olid MonsterV2 poolt eemaldatud koormused konfigureeritud kasutama sama C2 serverit kui teised koormused (näiteks StealC), kuigi neid teisi kampaaniaid ei seostatud otseselt TA585-ga.

MonsterV2 dokumenteeritud võimalused on järgmised:

  • Varasta tundlikke andmeid ja filtreeri need serverisse.
  • Käivita suvalisi käske cmd.exe või PowerShelli kaudu.
  • Protsesside lõpetamine, peatamine või jätkamine.
  • Looge HVNC-ühendused nakatunud hostiga.
  • Jäädvustage töölaua ekraanipilte.
  • Käivita klahvilogija.
  • Failide loendamine, manipuleerimine, kopeerimine ja filtreerimine.
  • Süsteemi sulgemine või krahhimine.
  • Laadige alla ja käivitage järgmise etapi kasulikud koormused (näited täheldatud: StealC ja Remcos RAT).

Leevendamise ja tuvastamise juhised

Kaitsjad peaksid käsitlema TA585-t kui võimekat, vertikaalselt integreeritud operaatorit, mis ühendab endas sotsiaalse manipuleerimise, saidi kompromiteerimise ja kihilised antianalüüsi tehnikad. Tuvastamisvõimaluste hulka kuuluvad: kahtlase PowerShelli/Käivita dialoogitegevuse jälgimine veebipõhistest voogudest, anomaalsete JavaScripti süstide tuvastamine legitiimsetel saitidel, teadaolevate SonicCryptiga pakitud binaarfailide blokeerimine käitumusliku tuvastamise abil ning ootamatute HVNC/kaugjuhtimispuldi ühenduste ja failide väljavoolumustrite märgistamine. Nakkusi võib avastada ka ebatavaliste C2-hostidega suhtlemise ja avalike IP-aadresside avastamise teenuste (nt api.ipify.org) päringute jälgimine koos väljaminevate andmeedastustega.

Kokkuvõte

TA585 esindab vastupidavat ohutegurit, mis säilitab kontrolli levitamise, kohaletoimetamise ja andmekoormuse toimimise üle. Andmepüügi, saiditaseme JavaScripti süstimise, võltsitud CAPTCHA kihtide ja kommertsliku MonsterV2 kasuliku koormuse (mis on pakitud SonicCryptiga) kombineerimise abil on tegur loonud usaldusväärse ja mitme vektoriga võimekuse andmete varguseks ja kaugjuhtimiseks. Arvestades teguri operatiivset küpsust ja MonsterV2 modulaarset funktsioonide komplekti, peaksid organisatsioonid seadma prioriteediks veebipõhiste käskude käivitamise, PowerShelli allalaadimis- ja käivitamisahelate, SonicCryptiga pakitud binaarfailide ning kahtlase HVNC või eksfiltratsioonitegevuse tuvastamise.

Trendikas

Enim vaadatud

Laadimine...