मॉन्स्टरवी2 मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने हाल ही में एक अज्ञात खतरे वाले अभिनेता का पर्दाफाश किया है, जिसे TA585 के रूप में ट्रैक किया गया है, जो MonsterV2 के रूप में ज्ञात एक तैयार मैलवेयर परिवार को वितरित करने के लिए परिष्कृत फ़िशिंग और वेब-इंजेक्शन अभियान चला रहा है।

TA585 — एक ऑपरेटर जो पूरी किल चेन का मालिक है

TA585 इसलिए अलग है क्योंकि यह अपनी पूरी आक्रमण श्रृंखला को शुरू से अंत तक नियंत्रित करता प्रतीत होता है। वितरण खरीदने, प्रारंभिक पहुँच दलालों से पहुँच पट्टे पर लेने, या तृतीय-पक्ष ट्रैफ़िक सेवाओं पर निर्भर रहने के बजाय, TA585 अपने बुनियादी ढाँचे, वितरण तंत्र और स्थापना उपकरणों का प्रबंधन स्वयं करता है। विश्लेषक इस क्लस्टर को परिष्कृत बताते हैं: यह अभिनेता सफलता को अधिकतम करने और विश्लेषण से बचने के लिए वेब इंजेक्शन, फ़िल्टरिंग, पर्यावरण जाँच और कई वितरण तकनीकों का उपयोग करता है।

फ़िशिंग, क्लिकफ़िक्स और आईआरएस-थीम वाले प्रलोभन - सोशल इंजीनियरिंग प्लेबुक
शुरुआती अभियान अमेरिकी आंतरिक राजस्व सेवा (IRS) से जुड़े पारंपरिक फ़िशिंग प्रलोभनों पर आधारित थे। लक्ष्य को ऐसे संदेश मिलते थे जो नकली URL की ओर इशारा करते थे, जिससे एक PDF खुलती थी; उस PDF में एक ऐसे वेब पेज का लिंक होता था जो ClickFix सोशल-इंजीनियरिंग रणनीति का इस्तेमाल करता था। ClickFix शिकार को Windows Run डायलॉग या PowerShell टर्मिनल के ज़रिए एक कमांड चलाने के लिए उकसाता है, जो फिर MonsterV2 को खींचने और तैनात करने के लिए एक अनुवर्ती PowerShell स्क्रिप्ट निष्पादित करता है।

वेब इंजेक्शन और नकली कैप्चा ओवरले

अप्रैल 2025 में देखी गई अगली लहरों में, TA585 ने दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्शन के ज़रिए वैध वेबसाइटों को खतरे में डालना शुरू कर दिया। इन इंजेक्शनों ने नकली CAPTCHA सत्यापन ओवरले उत्पन्न किए, जिससे ClickFix प्रक्रिया फिर से शुरू हो गई और अंततः मैलवेयर डाउनलोड और शुरू करने के लिए एक PowerShell कमांड लॉन्च हो गया। जावास्क्रिप्ट इंजेक्शन और संबंधित बुनियादी ढाँचा (विशेष रूप से intlspring.com) को अन्य चोरों के वितरण से भी जोड़ा गया है, जिनमें Rhadamanthys Stealer भी शामिल है।

GitHub का दुरुपयोग और फर्जी सुरक्षा सूचनाएं

TA585 अभियानों के एक तीसरे समूह ने GitHub की सूचना प्रणाली का दुरुपयोग किया: कर्ता ने GitHub उपयोगकर्ताओं को धोखाधड़ीपूर्ण 'सुरक्षा' सूचनाओं में टैग किया, जिनमें पीड़ितों को कर्ता-नियंत्रित साइटों पर ले जाने वाले URL शामिल थे। ये फर्जी GitHub अलर्ट पीड़ितों को उसी ClickFix/PowerShell श्रृंखला में धकेलने के लिए इस्तेमाल किया जाने वाला एक और माध्यम थे।

कोरसेकथ्री फ्रेमवर्क - डिलीवरी का आधार

वेब-इंजेक्ट और नकली-गिटहब गतिविधि क्लस्टर कोरसेकथ्री के साथ संबद्ध किया गया है, जो शोधकर्ताओं द्वारा 'परिष्कृत' के रूप में वर्णित एक ढांचा है और फरवरी 2022 से उपयोग में है। कोरसेकथ्री का उपयोग लगातार कई अभियानों में चोरी करने वाले मैलवेयर को फैलाने के लिए किया गया है।

MonsterV2 — उत्पत्ति और प्रकार

MonsterV2 एक बहुउद्देश्यीय खतरा है: एक रिमोट एक्सेस ट्रोजन (RAT), चोर और लोडर। शोधकर्ताओं ने इसे पहली बार फरवरी 2025 में आपराधिक मंचों पर विज्ञापित होते देखा था। इसे 'ऑरोटुन स्टीलर' ('ऑटोरन' की गलत वर्तनी) भी कहा जाता है और इसे पहले कैसललोडर (जिसे कैसलबॉट भी कहा जाता है) के माध्यम से वितरित किया गया था। TA585 गतिविधि के पहले के संस्करणों ने 2025 की शुरुआत में MonsterV2 की ओर रुख करने से पहले लुम्मा स्टीलर वितरित किया था।

वाणिज्यिक मॉडल और जियोफेंसिंग

MonsterV2 एक रूसी भाषी ऑपरेटर द्वारा बेचा जाता है। इसकी कीमत आपराधिक बाज़ारों पर देखी जा सकती है: मानक संस्करण की कीमत 800 अमेरिकी डॉलर प्रति माह और एंटरप्राइज़ संस्करण की कीमत 2,000 अमेरिकी डॉलर प्रति माह है। एंटरप्राइज़ स्तर में स्टीलर + लोडर, हिडन VNC (HVNC), और क्रोम डेवटूल्स प्रोटोकॉल (CDP) सपोर्ट शामिल है। स्टीलर घटक को स्वतंत्र राज्यों के राष्ट्रमंडल (CIS) देशों को संक्रमित होने से बचाने के लिए कॉन्फ़िगर किया गया है।

पैकिंग, एंटी-विश्लेषण और रनटाइम व्यवहार

MonsterV2 आमतौर पर SonicCrypt नामक एक C++ क्रिप्टर से लैस होता है। SonicCrypt पेलोड को डिक्रिप्ट और लोड करने से पहले स्तरित एंटी-एनालिसिस जाँच प्रदान करता है, जिससे पता लगाने से बचा जा सकता है। रनटाइम पर, पेलोड डिक्रिप्ट करता है, आवश्यक Windows API फ़ंक्शन्स को हल करता है, और विशेषाधिकार उन्नयन का प्रयास करता है। इसके बाद, यह एक एम्बेडेड कॉन्फ़िगरेशन को डिकोड करता है जो इसे निर्देश देता है कि अपने कमांड-एंड-कंट्रोल (C2) से कैसे संपर्क करें और क्या कार्रवाई करें।

MonsterV2 द्वारा उपयोग किए जाने वाले कॉन्फ़िगरेशन फ़्लैग में शामिल हैं:

• anti_dbg - जब सत्य होता है, तो मैलवेयर डिबगर्स का पता लगाने और उनसे बचने का प्रयास करता है।
• anti_sandbox - जब सत्य होता है, तो मैलवेयर सैंडबॉक्स पहचान का प्रयास करता है और अल्पविकसित एंटी-सैंडबॉक्स तकनीकों का उपयोग करता है।
• aurotun - जब सत्य होता है, तो मैलवेयर दृढ़ता स्थापित करने का प्रयास करता है (गलत वर्तनी 'Aurotun' नाम का स्रोत है)।
• priviledge_escalation — जब सत्य होता है, तो मैलवेयर होस्ट पर विशेषाधिकार बढ़ाने का प्रयास करता है।

नेटवर्किंग और C2 व्यवहार

यदि MonsterV2 सफलतापूर्वक अपने C2 तक पहुँच जाता है, तो यह सबसे पहले एक सार्वजनिक सेवा (शोधकर्ताओं ने api.ipify.org पर अनुरोध देखे) से पूछताछ करके बुनियादी सिस्टम टेलीमेट्री और जियोलोकेशन भेजता है। C2 प्रतिक्रिया में निष्पादित करने के लिए आदेश होते हैं। कुछ देखे गए कार्यों में, MonsterV2 द्वारा छोड़े गए पेलोड को अन्य पेलोड (उदाहरण के लिए, StealC) के समान C2 सर्वर का उपयोग करने के लिए कॉन्फ़िगर किया गया था, हालाँकि उन अन्य अभियानों को सीधे TA585 के लिए जिम्मेदार नहीं ठहराया गया था।

MonsterV2 की प्रलेखित क्षमताएं हैं:

शमन और पता लगाने संबंधी मार्गदर्शन

डिफेंडर्स को TA585 को एक सक्षम, लंबवत एकीकृत ऑपरेटर के रूप में देखना चाहिए जो सोशल इंजीनियरिंग, साइट कॉम्प्रोमाइज़ और स्तरित एंटी-एनालिसिस तकनीकों का मिश्रण है। पहचान के अवसरों में शामिल हैं: वेब-आधारित प्रवाहों से उत्पन्न होने वाली संदिग्ध PowerShell/Run संवाद गतिविधि की निगरानी, वैध साइटों पर असामान्य JavaScript इंजेक्शन की पहचान, व्यवहारिक पहचान के माध्यम से ज्ञात SonicCrypt-पैक्ड बाइनरीज़ को ब्लॉक करना, और अप्रत्याशित HVNC/रिमोट-कंट्रोल कनेक्शन और फ़ाइल एक्सफ़िल्टरेशन पैटर्न को चिह्नित करना। असामान्य C2 होस्ट्स से संचार और सार्वजनिक IP-डिस्कवरी सेवाओं (जैसे, api.ipify.org) से क्वेरीज़ की निगरानी, आउटबाउंड डेटा ट्रांसफ़र के साथ मिलकर संक्रमणों का पता लगा सकती है।

सारांश

TA585 एक लचीले ख़तरा पैदा करने वाले का प्रतिनिधित्व करता है जो वितरण, वितरण और पेलोड संचालन पर नियंत्रण बनाए रखता है। फ़िशिंग, साइट-स्तरीय जावास्क्रिप्ट इंजेक्शन, नकली कैप्चा ओवरले और वाणिज्यिक मॉन्स्टरV2 पेलोड (सोनिकक्रिप्ट से युक्त) को मिलाकर, इस खतरे पैदा करने वाले ने डेटा चोरी और रिमोट कंट्रोल के लिए एक विश्वसनीय, बहु-वेक्टर क्षमता तैयार की है। इस खतरे पैदा करने वाले की परिचालन परिपक्वता और मॉन्स्टरV2 के मॉड्यूलर फ़ीचर सेट को देखते हुए, संगठनों को वेब-संचालित कमांड लॉन्च, पावरशेल डाउनलोड-निष्पादन श्रृंखला, सोनिकक्रिप्ट-पैक बाइनरी और संदिग्ध HVNC या एक्सफ़िल्टरेशन गतिविधि का पता लगाने को प्राथमिकता देनी चाहिए।