Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver MonsterV2

Zlonamjerni softver MonsterV2

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Istraživači kibernetičke sigurnosti nedavno su otkrili prethodno nedokumentiranog akter prijetnje, praćenog kao TA585, koji je provodio sofisticirane phishing i web-injection kampanje kako bi isporučio gotovu obitelj zlonamjernog softvera poznatu kao MonsterV2.

TA585 - Operater koji posjeduje cijeli lanac ubojstava

TA585 se ističe jer se čini da kontrolira cijeli lanac napada od početka do kraja. Umjesto kupnje distribucije, najma pristupa od posrednika početnog pristupa ili oslanjanja na prometne usluge trećih strana, TA585 upravlja vlastitom infrastrukturom, mehanizmima isporuke i alatima za instalaciju. Analitičari opisuju klaster kao sofisticiran: akter koristi web injekcije, filtriranje i provjere okruženja te više tehnika isporuke kako bi maksimizirao uspjeh i izbjegao analizu.

Mamci na temu phishinga, ClickFixa i IRS-a — priručnik socijalnog inženjeringa
Rane kampanje oslanjale su se na klasične phishing mamce s temom američke Porezne uprave (IRS). Mete su primale poruke koje su upućivale na lažne URL-ove, koji su otvarali PDF; taj PDF je sadržavao poveznicu na web stranicu koja je koristila taktiku društvenog inženjeringa ClickFix. ClickFix vara žrtvu da pokrene naredbu putem dijaloga Pokreni u sustavu Windows ili PowerShell terminala, koji zatim izvršava PowerShell skriptu za preuzimanje i implementaciju MonsterV2.

Web injekcije i lažni CAPTCHA slojevi

U sljedećim valovima uočenim u travnju 2025., TA585 se prebacio na kompromitiranje legitimnih web stranica putem zlonamjernih JavaScript injekcija. Te injekcije su proizvele lažne CAPTCHA provjerne slojeve koji su ponovno pokrenuli ClickFix tijek i na kraju pokrenuli PowerShell naredbu za preuzimanje i pokretanje zlonamjernog softvera. JavaScript injekcija i povezana infrastruktura (posebno intlspring.com) također su povezani s distribucijom drugih kradljivaca koda, uključujući Rhadamanthys Stealer.

Zloupotreba GitHuba i lažne sigurnosne obavijesti

Treći set TA585 kampanja zloupotrijebio je mehaniku obavještavanja GitHuba: akter je označio korisnike GitHuba u lažnim 'sigurnosnim' obavijestima koje su sadržavale URL-ove koji su žrtve usmjeravali na web-lokacije kojima upravljaju akteri. Ove lažne GitHub obavijesti bile su još jedan vektor korišten za privlačenje žrtava u isti lanac ClickFix/PowerShell.

Okvir CoreSecThree — Okosnica isporuke

Klasteri aktivnosti web-inject i fake-GitHub povezani su s CoreSecThree, okvirom koji istraživači karakteriziraju kao 'sofisticirani' i koji se koristi od veljače 2022. CoreSecThree se dosljedno koristi za širenje zlonamjernog softvera za krađu u više kampanja.

MonsterV2 — Podrijetlo i varijante

MonsterV2 je višenamjenska prijetnja: trojanac za udaljeni pristup (RAT), kradljivac i program za učitavanje. Istraživači su prvi put vidjeli njegovo oglašavanje na kriminalističkim forumima u veljači 2025. Također se spominje kao 'Aurotun Stealer' (pogrešno napisana riječ 'autorun') i prethodno se distribuirao putem CastleLoadera (poznatog i kao CastleBot). Ranije iteracije aktivnosti TA585 distribuirale su Lumma Stealer prije prelaska na MonsterV2 početkom 2025.

Komercijalni model i geofencing

MonsterV2 prodaje ruskogovorni operater. Cijene na kriminalnim tržištima: Standardno izdanje iznosi 800 USD mjesečno, a Enterprise izdanje 2000 USD mjesečno. Enterprise izdanje uključuje stealer + loader, Hidden VNC (HVNC) i podršku za Chrome DevTools Protocol (CDP). Komponenta stealer konfigurirana je kako bi se izbjeglo zarađivanje zemalja Zajednice neovisnih država (ZND).

Pakiranje, antianaliza i ponašanje tijekom izvođenja

MonsterV2 je obično opremljen C++ kripterom pod nazivom SonicCrypt. SonicCrypt pruža slojevite anti-analitske provjere prije dešifriranja i učitavanja sadržaja, omogućujući izbjegavanje otkrivanja. Tijekom izvođenja, sadržaj se dešifrira, rješava funkcije Windows API-ja koje su mu potrebne i pokušava povećati privilegije. Zatim dekodira ugrađenu konfiguraciju koja mu daje upute kako kontaktirati svoj Command-and-Control (C2) i koje radnje poduzeti.

Konfiguracijske zastavice koje koristi MonsterV2 uključuju:

  • anti_dbg — kada je vrijednost True, zlonamjerni softver pokušava otkriti i izbjeći programe za ispravljanje pogrešaka.
  • anti_sandbox — kada je vrijednost True, zlonamjerni softver pokušava detektirati sandbox i koristi osnovne tehnike anti-sandboxa.
  • aurotun — kada je vrijednost True, zlonamjerni softver pokušava uspostaviti postojanost (pogrešno napisana riječ je izvor imena 'Aurotun').
  • priviledge_escalation — kada je vrijednost True, zlonamjerni softver pokušava povećati privilegije na hostu.

Umrežavanje i ponašanje C2

Ako MonsterV2 uspješno dosegne svoj C2, prvo šalje osnovnu sistemsku telemetriju i geolokaciju upitom javnoj usluzi (istraživači su uočili zahtjeve prema api.ipify.org). Odgovor C2 sadrži naredbe za izvršenje. U nekim uočenim operacijama, korisni tereti koje je MonsterV2 ispustio bili su konfigurirani za korištenje istog C2 poslužitelja kao i drugi korisni tereti (na primjer, StealC), iako te druge kampanje nisu izravno pripisane TA585.

Dokumentirane mogućnosti MonsterV2 su:

  • Ukradite osjetljive podatke i prenesite ih na poslužitelj.
  • Izvršite proizvoljne naredbe putem cmd.exe ili PowerShella.
  • Prekinite, obustavite ili nastavite procese.
  • Uspostavite HVNC veze sa zaraženim hostom.
  • Snimite snimke zaslona radne površine.
  • Pokrenite keylogger.
  • Nabrajanje, manipuliranje, kopiranje i izdvajanje datoteka.
  • Zaustavite ili srušite sustav.
  • Preuzmite i izvršite sljedeće korake s korisnim podacima (uočeni primjeri: StealC i Remcos RAT).

Smjernice za ublažavanje i otkrivanje

Zaštitari bi trebali tretirati TA585 kao sposobnog, vertikalno integriranog operatera koji kombinira socijalni inženjering, kompromitiranje web-mjesta i slojevite tehnike anti-analize. Mogućnosti otkrivanja uključuju: praćenje sumnjivih aktivnosti dijaloga PowerShell/Run koje potječu iz web-tokova, identificiranje anomalnih JavaScript injekcija na legitimnim web-mjestima, blokiranje poznatih binarnih datoteka zapakiranih SonicCryptom putem detekcije ponašanja i označavanje neočekivanih HVNC/daljinskih veza i obrazaca izbacivanja datoteka. Praćenje komunikacije s neobičnim C2 hostovima i upiti javnim uslugama otkrivanja IP-a (npr. api.ipify.org) u kombinaciji s prijenosom odlaznih podataka također mogu otkriti infekcije.

Sažetak

TA585 predstavlja otpornog aktera prijetnje koji zadržava kontrolu nad distribucijom, isporukom i radom s korisnim sadržajem. Kombiniranjem phishinga, ubrizgavanja JavaScripta na razini web-mjesta, lažnih CAPTCHA slojeva i komercijalnog korisnog sadržaja MonsterV2 (upakiranog sa SonicCryptom), akter je sastavio pouzdanu, viševektorsku sposobnost za krađu podataka i daljinsko upravljanje. S obzirom na operativnu zrelost aktera i modularni skup značajki MonsterV2, organizacije bi trebale dati prioritet otkrivanju pokretanja naredbi putem weba, lanaca preuzimanja i izvršavanja PowerShella, binarnih datoteka upakiranih u SonicCrypt i sumnjivih HVNC ili aktivnosti eksfiltracije.

U trendu

Nagledanije

Učitavam...