بدافزار MonsterV2

محققان امنیت سایبری اخیراً یک عامل تهدید که قبلاً مستند نشده بود و با نام TA585 ردیابی می‌شود را شناسایی کرده‌اند که با اجرای کمپین‌های پیچیده فیشینگ و تزریق وب، یک خانواده بدافزار آماده به نام MonsterV2 را ارائه می‌دهد.

TA585 - اپراتوری که مالک کل زنجیره کشتار است

TA585 به این دلیل برجسته است که به نظر می‌رسد کل زنجیره حمله خود را از ابتدا تا انتها کنترل می‌کند. TA585 به جای خرید توزیع، اجاره دسترسی از کارگزاران دسترسی اولیه یا تکیه بر خدمات ترافیک شخص ثالث، زیرساخت، مکانیک تحویل و ابزار نصب خود را مدیریت می‌کند. تحلیلگران این خوشه را پیچیده توصیف می‌کنند: این عامل از تزریق وب، فیلتر کردن و بررسی‌های محیطی و تکنیک‌های تحویل متعدد برای به حداکثر رساندن موفقیت و جلوگیری از تجزیه و تحلیل استفاده می‌کند.

فیشینگ، کلیک‌فیکس و فریب‌های با تم اداره مالیات - راهنمای مهندسی اجتماعی
کمپین‌های اولیه به فریب‌های فیشینگ کلاسیک با محوریت سازمان درآمد داخلی ایالات متحده (IRS) متکی بودند. اهداف، پیام‌هایی دریافت می‌کردند که به URLهای جعلی اشاره داشتند و یک PDF را باز می‌کردند؛ آن PDF حاوی پیوندی به یک صفحه وب بود که از تاکتیک مهندسی اجتماعی ClickFix استفاده می‌کرد. ClickFix قربانی را فریب می‌دهد تا از طریق پنجره Run ویندوز یا ترمینال PowerShell یک دستور را اجرا کند، که سپس یک اسکریپت PowerShell بعدی را برای استخراج و استقرار MonsterV2 اجرا می‌کند.

تزریق‌های وب و پوشش‌های جعلی CAPTCHA

در موج‌های بعدی که در آوریل ۲۰۲۵ مشاهده شد، TA585 به سمت نفوذ به وب‌سایت‌های قانونی از طریق تزریق‌های مخرب جاوا اسکریپت تغییر مسیر داد. این تزریق‌ها، پوشش‌های تأیید جعلی CAPTCHA ایجاد کردند که دوباره جریان ClickFix را فعال کرده و در نهایت یک دستور PowerShell را برای دانلود و اجرای بدافزار اجرا کردند. تزریق جاوا اسکریپت و زیرساخت‌های مرتبط (به‌ویژه intlspring.com) همچنین با توزیع سایر بدافزارهای سرقت، از جمله Rhadamanthys Stealer، مرتبط بوده‌اند.

سوءاستفاده از گیت‌هاب و اطلاعیه‌های امنیتی جعلی

مجموعه سوم از پویش‌های TA585 از سازوکار اعلان‌های گیت‌هاب سوءاستفاده کردند: عامل نفوذ، کاربران گیت‌هاب را در اعلان‌های جعلی «امنیتی» که حاوی URLهایی بودند که قربانیان را به سایت‌های تحت کنترل عامل نفوذ هدایت می‌کردند، برچسب‌گذاری کرد. این هشدارهای جعلی گیت‌هاب، عامل نفوذ دیگری بودند که برای هدایت قربانیان به همان زنجیره ClickFix/PowerShell استفاده می‌شدند.

چارچوب CoreSecThree - ستون فقرات تحویل

خوشه‌های فعالیت تزریق وب و جعلی گیت‌هاب با CoreSecThree مرتبط بوده‌اند، چارچوبی که توسط محققان به عنوان «پیچیده» توصیف شده و از فوریه ۲۰۲۲ در حال استفاده است. CoreSecThree به طور مداوم برای انتشار بدافزار سارق در چندین کمپین مورد استفاده قرار گرفته است.

MonsterV2 - ریشه‌ها و انواع آن

MonsterV2 یک تهدید چندمنظوره است: یک تروجان دسترسی از راه دور (RAT)، دزد و بارگذار. محققان اولین بار در فوریه 2025 تبلیغات آن را در انجمن‌های جنایی مشاهده کردند. همچنین به عنوان "Aurotun Stealer" (اشتباه املایی "autorun") نیز شناخته می‌شود و قبلاً از طریق CastleLoader (که با نام CastleBot نیز شناخته می‌شود) توزیع شده است. تکرارهای اولیه فعالیت TA585 قبل از تغییر جهت به MonsterV2 در اوایل سال 2025، Lumma Stealer را توزیع می‌کرد.

مدل تجاری و حصار جغرافیایی

MonsterV2 توسط یک اپراتور روسی زبان فروخته می‌شود. قیمت‌گذاری مشاهده شده در بازارهای مجرمانه: نسخه استاندارد با قیمت ۸۰۰ دلار در ماه و نسخه سازمانی با قیمت ۲۰۰۰ دلار در ماه. سطح سازمانی شامل stealer + loader، Hidden VNC (HVNC) و پشتیبانی از پروتکل Chrome DevTools (CDP) است. مؤلفه دزدگیر به گونه‌ای پیکربندی شده است که از آلوده کردن کشورهای مشترک‌المنافع کشورهای مستقل (CIS) جلوگیری کند.

بسته‌بندی، ضد تحلیل و رفتار زمان اجرا

MonsterV2 معمولاً با یک رمزگذار C++ به نام SonicCrypt همراه است. SonicCrypt قبل از رمزگشایی و بارگذاری payload، بررسی‌های ضدتحلیل لایه‌ای ارائه می‌دهد و امکان فرار از تشخیص را فراهم می‌کند. در زمان اجرا، payload رمزگشایی می‌کند، توابع API ویندوز مورد نیاز خود را حل می‌کند و سعی در افزایش امتیاز می‌کند. سپس یک پیکربندی تعبیه‌شده را رمزگشایی می‌کند که به آن دستور می‌دهد چگونه با Command‑and‑Control (C2) خود تماس بگیرد و چه اقداماتی انجام دهد.

پرچم‌های پیکربندی مورد استفاده توسط MonsterV2 عبارتند از:

• anti_dbg - وقتی مقدار True باشد، بدافزار تلاش می‌کند تا اشکال‌زداها را شناسایی و از آنها فرار کند.
• anti_sandbox — وقتی مقدار True باشد، بدافزار تلاش می‌کند تا sandbox را شناسایی کند و از تکنیک‌های ابتدایی anti‑sandbox استفاده می‌کند.
• aurotun — وقتی مقدار True باشد، بدافزار تلاش می‌کند تا در سیستم باقی بماند (نام «Aurotun» از همین غلط املایی گرفته شده است).
• priviledge_escalation — وقتی مقدار True باشد، بدافزار تلاش می‌کند تا امتیازات روی میزبان را افزایش دهد.

شبکه‌سازی و رفتار C2

اگر MonsterV2 با موفقیت به سرور کنترل و فرماندهی (C2) خود برسد، ابتدا با درخواست از یک سرویس عمومی، اطلاعات اولیه تله‌متری سیستم و موقعیت جغرافیایی را ارسال می‌کند (محققان درخواست‌هایی را به api.ipify.org مشاهده کردند). پاسخ C2 شامل دستوراتی برای اجرا است. در برخی از عملیات‌های مشاهده‌شده، بارهای داده‌ی MonsterV2 طوری پیکربندی شده‌اند که از همان سرور C2 مانند سایر بارها (به عنوان مثال، StealC) استفاده کنند، اگرچه آن کمپین‌های دیگر مستقیماً به TA585 نسبت داده نشدند.

قابلیت‌های مستند شده‌ی MonsterV2 عبارتند از:

راهنمایی برای کاهش و تشخیص

مدافعان باید TA585 را به عنوان یک اپراتور توانمند و یکپارچه عمودی در نظر بگیرند که مهندسی اجتماعی، نفوذ به سایت و تکنیک‌های ضد تحلیل لایه‌ای را با هم ترکیب می‌کند. فرصت‌های شناسایی شامل موارد زیر است: نظارت بر فعالیت‌های مشکوک PowerShell/Run dialog که از جریان‌های مبتنی بر وب سرچشمه می‌گیرند، شناسایی تزریق‌های جاوا اسکریپت غیرعادی در سایت‌های قانونی، مسدود کردن فایل‌های باینری شناخته شده SonicCrypt از طریق تشخیص‌های رفتاری، و علامت‌گذاری اتصالات HVNC/کنترل از راه دور غیرمنتظره و الگوهای استخراج فایل. نظارت بر ارتباطات با میزبان‌های غیرمعمول C2 و پرس‌وجوها به سرویس‌های کشف IP عمومی (مانند api.ipify.org) همراه با انتقال داده‌های خروجی نیز ممکن است آلودگی‌ها را کشف کند.

خلاصه

TA585 یک عامل تهدید مقاوم است که کنترل توزیع، تحویل و عملیات بارگذاری را حفظ می‌کند. این عامل با ترکیب فیشینگ، تزریق جاوا اسکریپت در سطح سایت، پوشش‌های جعلی CAPTCHA و بارگذاری تجاری MonsterV2 (همراه با SonicCrypt)، قابلیت چندبرداری و قابل اعتمادی را برای سرقت داده‌ها و کنترل از راه دور فراهم کرده است. با توجه به بلوغ عملیاتی این عامل و مجموعه ویژگی‌های ماژولار MonsterV2، سازمان‌ها باید تشخیص راه‌اندازی‌های فرمان مبتنی بر وب، زنجیره‌های دانلود-اجرای PowerShell، فایل‌های باینری بسته‌بندی شده SonicCrypt و فعالیت‌های مشکوک HVNC یا exfiltration را در اولویت قرار دهند.