Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware MonsterV2 kártevő

MonsterV2 kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági kutatók nemrégiben lelepleztek egy korábban dokumentálatlan, TA585 néven azonosított fenyegetést, amely kifinomult adathalász és webes behatolási kampányokat futtatott egy MonsterV2 néven ismert, kész kártevőcsalád eljuttatása céljából.

TA585 — Egy operátor, aki a teljes kill láncot birtokolja

A TA585 kiemelkedik, mivel úgy tűnik, hogy a teljes támadási láncát végponttól végpontig ellenőrzi. A disztribúció megvásárlása, a kezdeti hozzáférési brókerektől való hozzáférés bérlése vagy harmadik féltől származó forgalmi szolgáltatások igénybevétele helyett a TA585 saját infrastruktúráját, kézbesítési mechanikáját és telepítőeszközeit kezeli. Az elemzők a klasztert kifinomultnak írják le: az aktor webes injekciókat, szűrést és környezeti ellenőrzéseket, valamint több kézbesítési technikát használ a siker maximalizálása és az elemzés elkerülése érdekében.

Adathalászat, ClickFix és IRS-témájú csalik – a pszichológiai manipuláció kézikönyve
A korai kampányok klasszikus, az Egyesült Államok Adóhivatalához (IRS) kapcsolódó adathalász csalikra támaszkodtak. A célpontok olyan üzeneteket kaptak, amelyek hamis URL-ekre mutattak, amelyek egy PDF-et nyitottak meg; a PDF egy olyan weboldalra mutató linket tartalmazott, amely a ClickFix szociális manipulációs taktikáját alkalmazta. A ClickFix rávette az áldozatot, hogy futtasson egy parancsot a Windows Futtatás párbeszédpanelen vagy egy PowerShell terminálon keresztül, amely ezután egy további PowerShell szkriptet futtat a MonsterV2 letöltéséhez és telepítéséhez.

Webes injekciók és hamis CAPTCHA-fedvények

A 2025 áprilisában megfigyelt további hullámokban a TA585 a legitim weboldalak meghódítására váltott át rosszindulatú JavaScript injekciók segítségével. Ezek az injekciók hamis CAPTCHA ellenőrző rétegeket hoztak létre, amelyek ismét elindították a ClickFix folyamatot, és végül egy PowerShell parancsot indítottak el a rosszindulatú program letöltéséhez és elindításához. A JavaScript injekciót és a kapcsolódó infrastruktúrát (nevezetesen az intlspring.com-ot) más lopóvírusok, köztük a Rhadamanthys Stealer terjesztéséhez is összefüggésbe hozták.

GitHub visszaélések és hamis biztonsági értesítések

A TA585 kampányok harmadik csoportja a GitHub értesítési mechanizmusait használta ki: a szereplő megtévesztő „biztonsági” értesítésekben címkézte meg a GitHub felhasználóit, amelyek URL-eket tartalmaztak, amelyek az áldozatokat szereplők által ellenőrzött webhelyekre irányították. Ezek a hamis GitHub-riasztások egy másik vektort jelentettek, amelyet arra használtak, hogy az áldozatokat ugyanabba a ClickFix/PowerShell láncba tereljék.

CoreSecThree keretrendszer – A szállítási gerinchálózat

A webes injekciózás és a hamis GitHub tevékenységi klasztereket a CoreSecThree-hez társították, egy olyan keretrendszerhez, amelyet a kutatók „kifinomultnak” jellemeztek, és 2022 februárja óta használják. A CoreSecThree-t következetesen használták lopó kártevők terjesztésére több kampányban.

MonsterV2 — Eredet és változatok

A MonsterV2 egy többcélú fenyegetés: egy távoli hozzáférésű trójai (RAT), egy tolvaj és egy betöltő. A kutatók először 2025 februárjában látták hirdetését bűnözői fórumokon. „Aurotun Stealer” néven is emlegetik (az „autorun” szó elírása), és korábban a CastleLoader (más néven CastleBot) segítségével terjesztették. A TA585 tevékenység korábbi iterációi a Lumma Stealert terjesztették, mielőtt 2025 elején MonsterV2-re váltottak volna.

Kereskedelmi modell és geokerítés

A MonsterV2-t egy oroszul beszélő üzemeltető forgalmazza. A bűnözői piactereken megfigyelt árak: a Standard kiadás havi 800 USD, az Enterprise kiadás pedig havi 2000 USD. Az Enterprise csomag tartalmazza a lopó + betöltő, a rejtett VNC (HVNC) és a Chrome DevTools Protocol (CDP) támogatását. A lopó komponens úgy van konfigurálva, hogy elkerülje a Független Államok Közösségének (FÁK) országainak megfertőzését.

Csomagolás, antianalízis és futásidejű viselkedés

A MonsterV2 jellemzően egy SonicCrypt nevű C++ titkosítóval van ellátva. A SonicCrypt rétegzett anti-analízis ellenőrzéseket biztosít a hasznos adat visszafejtése és betöltése előtt, lehetővé téve az észlelés elkerülését. Futásidőben a hasznos adat visszafejti a titkosítást, feloldja a szükséges Windows API-függvényeket, és megkísérli a jogosultságok emelését. Ezután dekódol egy beágyazott konfigurációt, amely utasítja, hogyan lépjen kapcsolatba a Command-and-Control (C2) eszközével, és milyen műveleteket kell végrehajtania.

A MonsterV2 által használt konfigurációs jelzők a következők:

  • anti_dbg – ha igaz az értéke, a kártevő megpróbálja észlelni és kikerülni a hibakeresőket.
  • anti_sandbox – ha az értéke True, a kártevő megkísérli a sandbox észlelését, és alapvető anti-sandbox technikákat alkalmaz.
  • aurotun – ha az értéke True, a kártevő megpróbálja fenntartani a trópusi trópusokat (a helyesírási hiba az „Aurotun” név forrása).
  • priviledge_escalation – ha az értéke True, a kártevő megpróbálja magasabb szintű jogosultságokat szerezni a gazdagépen.

Hálózatépítés és C2 viselkedés

Ha a MonsterV2 sikeresen eléri a C2 szerverét, először alapvető rendszertelemetriát és geolokációs adatokat küld egy nyilvános szolgáltatás lekérdezésével (a kutatók az api.ipify.org oldalra irányuló kéréseket figyeltek meg). A C2 válasz tartalmazza a végrehajtandó parancsokat. Néhány megfigyelt művelet során a MonsterV2 által eldobott hasznos adatokat úgy konfigurálták, hogy ugyanazt a C2 szervert használják, mint más hasznos adatokat (például a StealC-t), bár ezeket a többi kampányt nem tulajdonították közvetlenül a TA585-nek.

A MonsterV2 dokumentált képességei a következők:

  • Lopj el érzékeny adatokat, és szivárogtasd ki azokat a szerverre.
  • Tetszőleges parancsok végrehajtása cmd.exe vagy PowerShell segítségével.
  • Folyamatok leállítása, felfüggesztése vagy folytatása.
  • Létesítsen HVNC kapcsolatokat a fertőzött gazdagéppel.
  • Asztali képernyőképek készítése.
  • Futtass egy billentyűnaplózót.
  • Fájlok felsorolása, kezelése, másolása és kinyerése.
  • Állítsa le vagy omolja össze a rendszert.
  • Következő szakaszú hasznos adatok letöltése és végrehajtása (megfigyelt példák: StealC és Remcos RAT).

Mérséklési és észlelési útmutató

A védelmi szervezeteknek a TA585-öt egy hatékony, vertikálisan integrált operátorként kell kezelniük, amely ötvözi a társadalmi manipulációt, a webhelyek feltörését és a rétegzett anti-analízis technikákat. Az észlelési lehetőségek közé tartozik: a webes folyamatokból származó gyanús PowerShell/Futtatás párbeszédablak-tevékenységek figyelése, a rendellenes JavaScript-befecskendezések azonosítása legitim webhelyeken, az ismert SonicCrypt-csomagolt binárisok blokkolása viselkedésalapú észlelések révén, valamint a váratlan HVNC/távoli vezérlésű kapcsolatok és fájlelszivárgási minták megjelölése. A szokatlan C2-hosztokkal folytatott kommunikáció és a nyilvános IP-felderítő szolgáltatásokhoz (pl. api.ipify.org) irányuló lekérdezések figyelése a kimenő adatátvitellel együtt szintén fertőzéseket fedezhet fel.

Összefoglalás

A TA585 egy ellenálló fenyegetési szereplő, amely megőrzi az irányítást a terjesztés, a kézbesítés és a hasznos adatok működése felett. Az adathalászat, a webhelyszintű JavaScript-befecskendezés, a hamis CAPTCHA-átfedések és a kereskedelmi forgalomban kapható MonsterV2 hasznos adat (SonicCrypttel csomagolva) kombinálásával a szereplő megbízható, többvektoros képességet állított össze az adatlopáshoz és a távoli vezérléshez. Tekintettel a szereplő működési érettségére és a MonsterV2 moduláris funkciókészletére, a szervezeteknek prioritásként kell kezelniük a webvezérelt parancsok indításának, a PowerShell letöltési-végrehajtási láncoknak, a SonicCrypttel csomagolt bináris fájloknak, valamint a gyanús HVNC vagy kiszűrési tevékenységek észlelését.

Felkapott

Legnézettebb

Betöltés...