הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של MonsterV2

תוכנה זדונית של MonsterV2

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

חוקרי אבטחת סייבר חשפו לאחרונה גורם איום שלא תועד בעבר, תחת הכותרת TA585, אשר הפעיל קמפיינים מתוחכמים של פישינג והחדרת רשת כדי לספק משפחת תוכנות זדוניות מוכנות לשימוש המכונה MonsterV2.

TA585 - מפעיל שבבעלותו שרשרת ההרג המלאה

TA585 בולטת בכך שהיא לכאורה שולטת בכל שרשרת ההתקפה שלה מקצה לקצה. במקום לקנות הפצה, לשכור גישה מתווכים של גישה ראשונית, או להסתמך על שירותי תעבורה של צד שלישי, TA585 מנהלת את התשתית שלה, מכניקות המסירה וכלי ההתקנה שלה. אנליסטים מתארים את האשכול כמתוחכם: הגורם משתמש בהזרקות אינטרנט, סינון ובדיקות סביבה, וטכניקות מסירה מרובות כדי למקסם את ההצלחה ולהימנע מניתוח.

פישינג, ClickFix ופיתיונות בנושא רשות המסים האמריקאית - ספר ההנדסה החברתית
קמפיינים מוקדמים הסתמכו על פיתוי פישינג קלאסי סביב רשות המסים האמריקאית (IRS). המטרות קיבלו הודעות שהצביעו על כתובות URL מזויפות, אשר פתחו קובץ PDF; קובץ PDF זה הכיל קישור לדף אינטרנט שהשתמש בטקטיקת ההנדסה החברתית של ClickFix. ClickFix מרמה קורבן להריץ פקודה דרך תיבת הדו-שיח הפעלה של Windows או מסוף PowerShell, אשר לאחר מכן מבצע סקריפט PowerShell המשך כדי למשוך ולפרוס את MonsterV2.

הזרקות אינטרנט ושכבות CAPTCHA מזויפות

בגלים נוספים שנראו באפריל 2025, TA585 עברה לפגיעה באתרי אינטרנט לגיטימיים באמצעות הזרקות JavaScript זדוניות. הזרקות אלו יצרו שכבות אימות CAPTCHA מזויפות שהפעילו שוב את זרימת ClickFix ובסופו של דבר הפעילו פקודת PowerShell כדי להוריד ולהפעיל את הנוזקה. הזרקת JavaScript והתשתית הקשורה (בעיקר intlspring.com) נקשרו גם להפצה של תוכנות זדוניות אחרות, כולל Rhadamanthys Stealer.

ניצול לרעה של GitHub והודעות אבטחה מזויפות

קבוצה שלישית של קמפיינים מסוג TA585 ניצלה לרעה את מכניקת ההתראות של GitHub: הגורם תייג משתמשי GitHub בהודעות "אבטחה" הונאה שהכילו כתובות URL המכוונות קורבנות לאתרים הנשלטים על ידי הגורם. התראות GitHub המזויפות הללו היו וקטור נוסף ששימש להובלת קורבנות לאותה שרשרת ClickFix/PowerShell.

מסגרת CoreSecThree - עמוד השדרה של האספקה

אשכולות הפעילות web-inject ו-fake-GitHub נקשרו ל-CoreSecThree, מסגרת המאופיינת על ידי חוקרים כ"מתוחכמת" ונמצאת בשימוש מאז פברואר 2022. CoreSecThree שימש באופן עקבי להפצת תוכנות זדוניות גנבות בקמפיינים מרובים.

MonsterV2 - מקורות וגרסאות

MonsterV2 הוא איום רב-תכליתי: טרויאני לגישה מרחוק (RAT), גונב וטוען. חוקרים ראו אותו לראשונה מפורסם בפורומים פליליים בפברואר 2025. הוא מכונה גם 'Aurotun Stealer' (איות שגוי של 'autorun') והופץ בעבר דרך CastleLoader (הידוע גם בשם CastleBot). גרסאות מוקדמות יותר של פעילות TA585 הפיצו את Lumma Stealer לפני מעבר ל-MonsterV2 בתחילת 2025.

מודל מסחרי וגיאופנסינג

MonsterV2 נמכר על ידי מפעיל דובר רוסית. המחירים שנצפו בשווקים פליליים: מהדורת Standard במחיר של 800 דולר לחודש, ומהדורת Enterprise במחיר של 2,000 דולר לחודש. רמת Enterprise כוללת stealer + loader, Hidden VNC (HVNC) ותמיכה בפרוטוקול Chrome DevTools (CDP). רכיב ה-stealer מוגדר למנוע הדבקה של מדינות חבר העמים (CIS).

אריזה, אנטי-אנליזה והתנהגות בזמן ריצה

MonsterV2 בדרך כלל מגיע עם תוכנת קריפטוגרפיה ב-C++ בשם SonicCrypt. SonicCrypt מספקת בדיקות אנטי-אנליזה רב-שכבתיות לפני פענוח וטעינת המטען, מה שמאפשר התחמקות מזיהוי. בזמן ריצה המטען מפענח, פותר את פונקציות ה-API של Windows שהוא דורש ומנסה להעלות הרשאות. לאחר מכן הוא מפענח תצורה מוטמעת המורה לו כיצד ליצור קשר עם מרכז הפיקוד והבקרה (C2) שלו ואילו פעולות יש לנקוט.

דגלי התצורה בהם משתמש MonsterV2 כוללים:

  • anti_dbg — כאשר ההגדרה היא True, התוכנה הזדונית מנסה לזהות ולהתחמק ממאגרי באגים.
  • anti_sandbox — כאשר מוגדר כ-True, התוכנה הזדונית מנסה לזהות ארגז חול ומשתמשת בטכניקות אנטי-ארגז חול בסיסיות.
  • aurotun — כאשר ההגדרה היא אמת, התוכנה הזדונית מנסה ליצור נוכחות (שגיאת הכתיב היא מקור השם 'Aurotun').
  • priviledge_escalation - כאשר מוגדר כ-True, התוכנה הזדונית מנסה להעלות הרשאות במארח.

רשתות והתנהגות C2

אם MonsterV2 מגיע בהצלחה ל-C2 שלו, הוא שולח תחילה טלמטריה בסיסית של המערכת ומיקום גיאוגרפי על ידי שאילתה לשירות ציבורי (חוקרים צפו בבקשות ל-api.ipify.org). תגובת ה-C2 מכילה את הפקודות לביצוע. בכמה פעולות שנצפו, מטענים שהושמטו על ידי MonsterV2 הוגדרו לשימוש באותו שרת C2 כמו מטענים אחרים (לדוגמה, StealC), אם כי קמפיינים אחרים אלה לא יוחסו ישירות ל-TA585.

היכולות המתועדות של MonsterV2 הן:

  • לגנוב מידע רגיש ולהעביר אותו לשרת.
  • בצע פקודות שרירותיות באמצעות cmd.exe או PowerShell.
  • לסיים, להשעות או לחדש תהליכים.
  • צור חיבורי HVNC למארח הנגוע.
  • צילום צילומי מסך של שולחן העבודה.
  • הפעל תוכנת קילוג (keylogger).
  • ספירה, מניפולציה, העתקה וחילוץ קבצים.
  • כבה או קריס את המערכת.
  • הורד והפעל מטענים בשלב הבא (דוגמאות שנצפו: StealC ו- Remcos RAT).

    • הנחיות להפחתת נזקים וגילוי

    על המגנים להתייחס ל-TA585 כאל אופרטור בעל יכולת משולבת אנכית, המשלב הנדסה חברתית, פריצת אתרים וטכניקות אנטי-אנליזה מרובדות. הזדמנויות הגילוי כוללות: ניטור פעילות חשודה של דו-שיח PowerShell/Run שמקורה בזרימות מבוססות אינטרנט, זיהוי הזריקות JavaScript חריגות באתרים לגיטימיים, חסימת קבצים בינאריים ידועים שנארזו ב-SonicCrypt באמצעות גילוי התנהגותי, וסימון חיבורי HVNC/שליטה מרחוק בלתי צפויים ודפוסי חילוץ קבצים. ניטור תקשורת למארחי C2 יוצאי דופן ושאילתות לשירותי גילוי IP ציבוריים (למשל, api.ipify.org) בשילוב עם העברות נתונים יוצאות עשוי גם הוא לחשוף הדבקות.

    תַקצִיר

    TA585 מייצג גורם איום עמיד ששומר על שליטה על הפצה, אספקה ותפעול מטען. על ידי שילוב של פישינג, הזרקת JavaScript ברמת האתר, שכבות CAPTCHA מזויפות ומטען MonsterV2 המסחרי (ארוז עם SonicCrypt), הגורם הרכיב יכולת אמינה ורב-וקטורית לגניבת נתונים ושליטה מרחוק. בהתחשב בבגרות התפעולית של הגורם ובסט התכונות המודולרי של MonsterV2, ארגונים צריכים לתעדף זיהוי של השקות פקודות מונחות-אינטרנט, שרשראות הורדה-ביצוע של PowerShell, קבצים בינאריים ארוזים ב-SonicCrypt ופעילות HVNC או חילוץ חשודה.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    33,770
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...