Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma MonsterV2-haittaohjelma

MonsterV2-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)
Käännä:

Kyberturvallisuustutkijat ovat äskettäin paljastaneet aiemmin dokumentoimattoman uhkatoimijan, jonka nimi on TA585. Se on käyttänyt hienostuneita tietojenkalastelu- ja verkkohyökkäyskampanjoita levittääkseen valmista MonsterV2-haittaohjelmaperhettä.

TA585 — Operaattori, joka omistaa koko tappoketjun

TA585 erottuu joukosta, koska se näyttää hallitsevan koko hyökkäysketjuaan päästä päähän. Sen sijaan, että TA585 ostaisi jakelua, vuokraisi käyttöoikeuksia alkuperäisen käyttöoikeuden välittäjiltä tai luottaisi kolmansien osapuolten liikennepalveluihin, se hallinnoi omaa infrastruktuuriaan, toimitusmekaniikkaansa ja asennustyökalujaan. Analyytikot kuvailevat klusteria hienostuneeksi: toimija käyttää verkkoinjektioita, suodatusta ja ympäristötarkistuksia sekä useita toimitustekniikoita menestyksen maksimoimiseksi ja analyysin välttämiseksi.

Tietojenkalastelu, ClickFix ja IRS-aiheiset houkuttimet – sosiaalisen manipuloinnin käsikirja
Varhaiset kampanjat perustuivat klassisiin tietojenkalasteluhyökkäyksiin, jotka oli teemoitettu Yhdysvaltain verohallinnon (IRS) ympärille. Kohteet saivat viestejä, jotka osoittivat väärennettyihin URL-osoitteisiin, jotka avasivat PDF-tiedoston; PDF-tiedosto sisälsi linkin verkkosivulle, jolla käytettiin ClickFixin sosiaalisen manipuloinnin taktiikkaa. ClickFix huijaa uhrin suorittamaan komennon Windowsin Suorita-valintaikkunan tai PowerShell-päätteen kautta, joka sitten suorittaa PowerShell-seuraavan komentosarjan MonsterV2:n lataamiseksi ja asentamiseksi.

Verkkoinjektiot ja väärennetyt CAPTCHA-peittokuvat

Seuraavissa huhtikuussa 2025 nähdyissä aalloissa TA585 siirtyi vaarantamaan laillisia verkkosivustoja haitallisten JavaScript-injektioiden avulla. Nämä injisoinnit tuottivat väärennettyjä CAPTCHA-vahvistuskuvia, jotka käynnistivät jälleen ClickFix-työnkulun ja lopulta PowerShell-komennon haittaohjelman lataamiseksi ja käynnistämiseksi. JavaScript-injektio ja siihen liittyvä infrastruktuuri (erityisesti intlspring.com) on yhdistetty myös muiden varkaiden, kuten Rhadamanthys Stealerin, levittämiseen.

GitHubin väärinkäyttö ja väärennetyt tietoturvailmoitukset

Kolmas TA585-kampanjoiden sarja väärinkäytti GitHubin ilmoitusmekaniikkaa: toimija merkitsi GitHubin käyttäjiä vilpillisillä "turvallisuus"-ilmoituksilla, jotka sisälsivät URL-osoitteita, jotka ohjasivat uhrit toimijoiden hallitsemille sivustoille. Nämä tekaistut GitHub-hälytykset olivat toinen vektori, jota käytettiin uhrien ohjaamiseen samaan ClickFix/PowerShell-ketjuun.

CoreSecThree-kehys — Toimituksen selkäranka

Verkkoon injektoitujen ja väärennettyjen GitHub-hyökkäysten klustereita on yhdistetty CoreSecThreehen, tutkijoiden "hienostuneeksi" kuvailemaan kehykseen, jota on käytetty helmikuusta 2022 lähtien. CoreSecThreetä on käytetty johdonmukaisesti varastavan haittaohjelman levittämiseen useissa kampanjoissa.

MonsterV2 — Alkuperä ja variantit

MonsterV2 on monikäyttöinen uhka: etäkäyttötroijalainen (RAT), varastaja ja lataaja. Tutkijat näkivät sen mainostettavan ensimmäisen kerran rikollisfoorumeilla helmikuussa 2025. Siihen viitataan myös nimellä 'Aurotun Stealer' (kirjoitusvirhe sanasta 'autorun') ja sitä on aiemmin levitetty CastleLoaderin (tunnetaan myös nimellä CastleBot) kautta. TA585-toiminnan aiemmat versiot levittivät Lumma Stealeria ennen vuoden 2025 alun siirtymistä MonsterV2:een.

Kaupallinen malli ja geoaidat

MonsterV2:ta myy venäjänkielinen operaattori. Rikollisilla markkinapaikoilla havaittu hinnoittelu: Standard-versio 800 USD kuukaudessa ja Enterprise-versio 2 000 USD kuukaudessa. Enterprise-taso sisältää varastus- ja latausohjelman, piilotetun VNC:n (HVNC) ja Chrome DevTools Protocol (CDP) -tuen. Varastuskomponentti on konfiguroitu välttämään Itsenäisten valtioiden yhteisön (IVY) maiden tartuttamista.

Pakkaus, analyysin estäminen ja ajonaikainen toiminta

MonsterV2:ssa on tyypillisesti mukana C++-kryptausohjelma nimeltä SonicCrypt. SonicCrypt tarjoaa kerroksellisia anti-analyysitarkistuksia ennen hyötykuorman salauksen purkamista ja lataamista, mikä mahdollistaa havaitsemisen välttämisen. Suorituksen aikana hyötykuorma purkaa salauksen, ratkaisee tarvitsemansa Windows API -funktiot ja yrittää oikeuksien laajentamista. Sitten se dekoodaa upotetun kokoonpanon, joka ohjeistaa sitä, miten ottaa yhteyttä sen Command-and-Control (C2) -ominaisuuteen ja mitä toimia sen on tehtävä.

MonsterV2:n käyttämiin määrityslippuihin kuuluvat:

  • anti_dbg — kun arvo on True, haittaohjelma yrittää havaita ja välttää virheenkorjausohjelmia.
  • anti_sandbox — kun arvo on True, haittaohjelma yrittää hiekkalaatikon tunnistusta ja käyttää alkeellisia hiekkalaatikon tunnistuksen tekniikoita.
  • aurotun — kun arvo on True, haittaohjelma yrittää pysyä tiedostossa (kirjoitusvirhe on 'Aurotun'-nimen lähde).
  • priviledge_escalation — Kun arvo on True, haittaohjelma yrittää laajentaa käyttöoikeuksia isännälle.

Verkostoituminen ja C2-käyttäytyminen

Jos MonsterV2 saavuttaa C2-palvelimensa onnistuneesti, se lähettää ensin perusjärjestelmän telemetria- ja geolokaatiotiedot kyselyllä julkiseen palveluun (tutkijat havaitsivat pyyntöjä osoitteeseen api.ipify.org). C2-vastaus sisältää suoritettavat komennot. Joissakin havaituissa operaatioissa MonsterV2:n pudottamat hyötykuormat oli määritetty käyttämään samaa C2-palvelinta kuin muut hyötykuormat (esimerkiksi StealC), vaikka näitä muita kampanjoita ei suoraan liitetty TA585:een.

MonsterV2:n dokumentoidut ominaisuudet ovat:

  • Varasta arkaluonteisia tietoja ja siirrä ne palvelimelle.
  • Suorita mielivaltaisia komentoja cmd.exe:n tai PowerShellin kautta.
  • Lopeta, keskeytä tai jatka prosesseja.
  • Muodosta HVNC-yhteydet tartunnan saaneeseen isäntään.
  • Ota työpöydän kuvakaappauksia.
  • Suorita näppäinpainallusten tallennin.
  • Luetteloi, käsittele, kopioi ja purkaa tiedostoja.
  • Sammuta tai kaada järjestelmä.
  • Lataa ja suorita seuraavan vaiheen hyötykuormat (havaittuja esimerkkejä: StealC ja Remcos RAT).

Lieventämis- ja havaitsemisohjeet

Puolustajien tulisi käsitellä TA585:tä kykenevänä, vertikaalisesti integroituneena operaattorina, joka yhdistää sosiaalisen manipuloinnin, sivuston murtamisen ja kerrostetut anti-analyysitekniikat. Havaitsemismahdollisuuksia ovat: verkkopohjaisista työnkuluista peräisin olevan epäilyttävän PowerShell/Suorita-valintaikkunatoiminnan valvonta, poikkeavien JavaScript-injektioiden tunnistaminen laillisille sivustoille, tunnettujen SonicCrypt-pakattujen binäärien estäminen käyttäytymistunnistusten avulla ja odottamattomien HVNC/etäohjausyhteyksien ja tiedostojen vuotamismallien merkitseminen. Myös epätavallisiin C2-isäntiin tapahtuvan viestinnän ja julkisiin IP-etsintäpalveluihin (esim. api.ipify.org) tehtyjen kyselyiden valvonta lähtevien tiedonsiirtojen yhteydessä voi paljastaa tartuntoja.

Yhteenveto

TA585 edustaa joustavaa uhkatoimijaa, joka säilyttää hallinnan jakelusta, toimituksesta ja hyötykuorman toiminnasta. Yhdistämällä tietojenkalasteluhyökkäyksiä, sivustotason JavaScript-injektiota, väärennettyjä CAPTCHA-päällyskuvia ja kaupallista MonsterV2-hyötykuormaa (joka on varustettu SonicCryptillä) toimija on koonnut luotettavan, usean vektorin kyvyn tietovarkauksiin ja etähallintaan. Toimijan operatiivisen kypsyyden ja MonsterV2:n modulaarisen ominaisuusjoukon vuoksi organisaatioiden tulisi priorisoida verkkopohjaisten komentojen käynnistysten, PowerShell-lataus- ja suoritusketjujen, SonicCrypt-pakattujen binaarien sekä epäilyttävän HVNC- tai vuototoiminnan havaitsemista.

Trendaavat

Eniten katsottu

Ladataan...