MontysThree

MontysThree è il nome dato dagli esperti di malware a un set di strumenti minaccioso scritto in C ++ composto da diversi moduli diversi. Il nome deriva dalla designazione "MT3" che è stata data al set di strumenti dai suoi creatori criminali. È stato osservato che il set di strumenti è stato utilizzato come parte di una campagna di attacco altamente mirata. Secondo i ricercatori, l'attore della minaccia dietro l'attacco è un collettivo di hacker appena scoperto, poiché nessuno degli strumenti malware né la tattica, le tecniche e le procedure (TTP) possono essere abbinati a quelli attribuiti alla già nota Advanced Persistent Threat (APT). attori. Un aspetto peculiare delle operazioni di questo nuovo collettivo di hacker è che è coinvolto in spionaggio aziendale mirato e non nelle normali attività degli APT sponsorizzati dallo stato, che si concentrano maggiormente su società di telecomunicazioni, diplomatici o enti governativi.

Ci sono molte prove che MontysThree sia progettato per lo spionaggio aziendale contro società con sede in Russia o, almeno, con sede in paesi di lingua russa. I ricercatori di infosec hanno scoperto che più moduli contengono stringhe di testo in russo o cercano directory che esistono solo su sistemi Windows localizzati in cirillico. Gli hacker potrebbero aver tentato di fuorviare potenziali ricercatori implementando account basati su e-mail nella comunicazione di MontysThree che fingono di essere di origine cinese.

MontysThree è dotato di steganografia personalizzata e di un complesso schema di crittografia

Il set di strumenti mostra numerose caratteristiche uniche che lo rendono una minaccia piuttosto rara tra gli altri strumenti minacciosi disponibili. Innanzitutto, si compone di diversi moduli, ciascuno responsabile di compiti specifici:

• Modulo Loader - Gestisce l'estrazione dei dati crittografati con steganografia dall'immagine bitmap che li trasporta. Il risultato decrittografato viene rilasciato sul disco come file denominato "msgslang32.dll."
• Modulo kernel : contiene le chiavi di crittografia RSA e 3DES utilizzate per la decrittografia della configurazione e durante la comunicazione con l'infrastruttura di comando e controllo (C2, C&C). Esegue anche la raccolta dei dati ottenendo alcuni dettagli del sistema come la versione del sistema operativo, l'elenco dei processi e l'acquisizione di schermate. Inoltre, fornisce un elenco degli ultimi documenti dell'utente target dalle directory dei documenti recenti che si trovano in% USERPROFILE% e% APPDATA%. Una cartella specifica che viene controllata è% APPDATA% \ Microsoft \ Office \ Последние файлы.
• Modulo HttpTransport - Situato all'interno del cellulare Kernel, il modulo HttpTransport ha il compito di estrarre le informazioni raccolte. Può scaricare o caricare dati tramite i protocolli RDP, Citrix, WebDAV e HTTP. Va notato che i protocolli non sono implementati come parte del modulo e, invece, vengono sfruttati programmi Windows legittimi: client Internet Explorer, RDP e Citrix. Il modulo può anche scaricare dati da servizi Cloud pubblici come Google e Dropbox tramite token utente.
• LinkUpdate - Responsabile del raggiungimento della persistenza sulla macchina compromessa modificando i file " .lnk " nel pannello di avvio veloce di Windows.

MontyThree si diffonde attraverso attacchi di phishing

Il set di strumenti modulare MontyThree viene fornito all'interno di archivi RAR autoestraenti. I nomi di questi archivi avvelenati sono progettati per attirare l'attenzione degli utenti di lingua russa. Gli hacker utilizzano variazioni di "aggiornamento delle informazioni aziendali" o "risultati di analisi mediche". Un file era denominato "Список телефонов сотрудников 2019.doc" (elenco telefonico dei dipendenti) mentre altri erano semplicemente "Tech task.pdf" o "invitro-106650152-1.pdf" (Invitro è il nome di un laboratorio medico russo).