មេរោគ MonsterV2

ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានលាតត្រដាងនូវតួអង្គគំរាមកំហែងដែលមិនមានឯកសារពីមុន ដែលត្រូវបានតាមដានថាជា TA585 ដែលបាននិងកំពុងដំណើរការយុទ្ធនាការបន្លំ និងការចាក់តាមអ៊ីនធឺណិតដ៏ស្មុគ្រស្មាញ ដើម្បីផ្តល់នូវគ្រួសារមេរោគក្រៅប្រព័ន្ធដែលគេស្គាល់ថា MonsterV2។

TA585 - ប្រតិបត្តិករដែលជាម្ចាស់ខ្សែសង្វាក់សម្លាប់ពេញលេញ

TA585 មានភាពលេចធ្លោ ព្រោះវាហាក់ដូចជាគ្រប់គ្រងខ្សែសង្វាក់ការវាយប្រហារទាំងមូលរបស់វាពីចុងដល់ចប់។ ជាជាងការទិញការចែកចាយ ការជួលការចូលប្រើប្រាស់ពីឈ្មួញកណ្តាលដែលចូលប្រើដំបូង ឬពឹងផ្អែកលើសេវាកម្មចរាចរណ៍ភាគីទីបី TA585 គ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួន យន្តការដឹកជញ្ជូន និងឧបករណ៍ដំឡើង។ អ្នកវិភាគពណ៌នាអំពីចង្កោមនេះថាមានភាពស្មុគ្រស្មាញ៖ តួសម្តែងប្រើការចាក់តាមគេហទំព័រ ការត្រង និងការត្រួតពិនិត្យបរិស្ថាន និងបច្ចេកទេសចែកចាយជាច្រើនដើម្បីបង្កើនភាពជោគជ័យ និងជៀសវាងការវិភាគ។

Phishing, ClickFix, និង IRS-themed lures — the social engineering playbook
យុទ្ធនាការដំបូងពឹងផ្អែកលើការបោកបញ្ឆោតបែបបុរាណដែលមានប្រធានបទជុំវិញសេវាកម្មចំណូលផ្ទៃក្នុងរបស់សហរដ្ឋអាមេរិក (IRS)។ គោលដៅបានទទួលសារដែលចង្អុលទៅ URL ក្លែងក្លាយ ដែលបើក PDF ។ ឯកសារ PDF មានតំណភ្ជាប់ទៅកាន់គេហទំព័រដែលប្រើ ClickFix social-engineering tactic។ ClickFix បញ្ឆោតជនរងគ្រោះឱ្យដំណើរការពាក្យបញ្ជាតាមរយៈប្រអប់ Windows Run ឬ PowerShell terminal ដែលបន្ទាប់មកដំណើរការស្គ្រីប PowerShell បន្តបន្ទាប់ដើម្បីទាញ និងដាក់ឱ្យដំណើរការ MonsterV2 ។

ការចាក់លើបណ្តាញ និងការលាបលើ CAPTCHA ក្លែងក្លាយ

នៅក្នុងរលកជាបន្តបន្ទាប់ដែលឃើញក្នុងខែមេសា ឆ្នាំ 2025 TA585 បានប្តូរទៅការសម្របសម្រួលគេហទំព័រស្របច្បាប់តាមរយៈការចាក់បញ្ចូល JavaScript ព្យាបាទ។ ការចាក់ថ្នាំទាំងនោះបានបង្កើតការត្រួតគ្នាលើការផ្ទៀងផ្ទាត់ CAPTCHA ក្លែងក្លាយ ដែលបង្កឱ្យមានលំហូរ ClickFix ម្តងទៀត ហើយទីបំផុតបានបើកដំណើរការពាក្យបញ្ជា PowerShell ដើម្បីទាញយក និងចាប់ផ្តើមមេរោគ។ JavaScript inject និងហេដ្ឋារចនាសម្ព័ន្ធដែលពាក់ព័ន្ធ (ជាពិសេស intlspring.com) ក៏ត្រូវបានភ្ជាប់ទៅនឹងការចែកចាយអ្នកលួចផ្សេងទៀត រួមទាំង Rhadamanthys Stealer ផងដែរ។

ការរំលោភបំពាន GitHub និងការជូនដំណឹងអំពីសុវត្ថិភាពក្លែងក្លាយ

សំណុំទីបីនៃយុទ្ធនាការ TA585 បានបំពានយន្តការជូនដំណឹងរបស់ GitHub៖ តារាសម្តែងបានដាក់ស្លាកអ្នកប្រើប្រាស់ GitHub នៅក្នុងការជូនដំណឹង 'សុវត្ថិភាព' ក្លែងបន្លំដែលមាន URLs ដឹកនាំជនរងគ្រោះទៅកាន់គេហទំព័រដែលគ្រប់គ្រងដោយតារាសម្តែង។ ការជូនដំណឹង GitHub ក្លែងក្លាយទាំងនេះគឺជាវ៉ិចទ័រមួយផ្សេងទៀតដែលត្រូវបានប្រើដើម្បីជំរុញជនរងគ្រោះចូលទៅក្នុងសង្វាក់ ClickFix/PowerShell ដូចគ្នា។

CoreSecThree Framework — ឆ្អឹងខ្នងនៃការដឹកជញ្ជូន

ចង្កោមសកម្មភាព web-inject និងក្លែងក្លាយ-GitHub ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹង CoreSecThree ដែលជាក្របខ័ណ្ឌកំណត់ដោយអ្នកស្រាវជ្រាវថា 'ទំនើប' និងត្រូវបានប្រើប្រាស់តាំងពីខែកុម្ភៈ ឆ្នាំ 2022។ CoreSecThree ត្រូវបានប្រើជាបន្តបន្ទាប់ដើម្បីផ្សព្វផ្សាយមេរោគលួចចម្លងតាមយុទ្ធនាការជាច្រើន។

MonsterV2 - ប្រភពដើមនិងវ៉ារ្យ៉ង់

MonsterV2 គឺជាការគំរាមកំហែងពហុគោលបំណង៖ trojan ចូលប្រើពីចម្ងាយ (RAT) អ្នកលួច និងឧបករណ៍ផ្ទុក។ អ្នកស្រាវជ្រាវបានឃើញជាលើកដំបូងថាវាត្រូវបានផ្សព្វផ្សាយនៅលើវេទិកាឧក្រិដ្ឋកម្មក្នុងខែកុម្ភៈ ឆ្នាំ 2025។ វាត្រូវបានគេសំដៅផងដែរថាជា 'Aurotun Stealer' (អក្ខរាវិរុទ្ធនៃ 'autorun') ហើយពីមុនត្រូវបានចែកចាយតាមរយៈ CastleLoader (ត្រូវបានគេស្គាល់ផងដែរថាជា CastleBot) ។ ការរំលឹកឡើងវិញមុនៗនៃសកម្មភាព TA585 បានចែកចាយ Lumma Stealer មុនពេលការបង្វិលដើមឆ្នាំ 2025 ទៅ MonsterV2 ។

គំរូពាណិជ្ជកម្ម និង Geofencing

MonsterV2 ត្រូវបានលក់ដោយប្រតិបត្តិករដែលនិយាយភាសារុស្សី។ តម្លៃត្រូវបានអង្កេតលើទីផ្សារឧក្រិដ្ឋកម្ម៖ ការបោះពុម្ពស្តង់ដារនៅ USD 800 ក្នុងមួយខែ និងការបោះពុម្ពសហគ្រាសនៅ USD 2,000 ក្នុងមួយខែ។ ថ្នាក់សហគ្រាសរួមមានអ្នកលួច + កម្មវិធីផ្ទុក ការគាំទ្រ VNC លាក់ (HVNC) និងពិធីការ Chrome DevTools (CDP) ។ សមាសភាគអ្នកលួចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីជៀសវាងការឆ្លងប្រទេស Commonwealth of Independent States (CIS)។

ការវេចខ្ចប់ ការប្រឆាំងការវិភាគ និងឥរិយាបថពេលរត់

MonsterV2 ជាធម្មតាត្រូវបានផ្ទុកដោយ C++ crypter ដែលមានឈ្មោះថា SonicCrypt ។ SonicCrypt ផ្តល់នូវការត្រួតពិនិត្យប្រឆាំងនឹងការវិភាគជាស្រទាប់ មុនពេលការឌិគ្រីប និងការផ្ទុកបន្ទុក ដែលអនុញ្ញាតឱ្យមានការគេចពីការរកឃើញ។ នៅពេលដំណើរការ payload decrypts ដោះស្រាយមុខងារ Windows API ដែលវាទាមទារ និងព្យាយាមបង្កើនសិទ្ធិ។ បន្ទាប់មក វា​ឌិកូដ​ការ​កំណត់​រចនាសម្ព័ន្ធ​ដែល​បាន​បង្កប់​ដែល​ណែនាំ​វា​អំពី​របៀប​ទាក់ទង Command-and-Control (C2) និង​សកម្មភាព​អ្វី​ដែល​ត្រូវ​ធ្វើ។

ទង់កំណត់រចនាសម្ព័ន្ធដែលប្រើដោយ MonsterV2 រួមមាន:

• anti_dbg — នៅពេលដែល True មេរោគព្យាយាមស្វែងរក និងគេចចេញពីកម្មវិធីបំបាត់កំហុស។
• anti_sandbox — នៅ​ពេល​ពិត មេរោគ​ព្យាយាម​រក​ឃើញ sandbox និង​ប្រើ​បច្ចេកទេស​ប្រឆាំង​នឹង sandbox ជា​មូលដ្ឋាន។
• aurotun — នៅពេលដែល True មេរោគព្យាយាមបង្កើតភាពជាប់លាប់ (អក្ខរាវិរុទ្ធខុសគឺជាប្រភពនៃឈ្មោះ 'Aurotun')។
• priviledge_escalation — នៅពេលដែល True មេរោគព្យាយាមបង្កើនសិទ្ធិនៅលើម៉ាស៊ីន។

បណ្តាញនិងឥរិយាបថ C2

ប្រសិនបើ MonsterV2 ឈានដល់ C2 របស់ខ្លួនដោយជោគជ័យ នោះដំបូងវាបញ្ជូនប្រព័ន្ធទូរលេខ និងទីតាំងភូមិសាស្ត្រមូលដ្ឋានដោយសួរសេវាសាធារណៈ (អ្នកស្រាវជ្រាវបានសង្កេតសំណើទៅ api.ipify.org) ។ ការឆ្លើយតប C2 មានពាក្យបញ្ជាដែលត្រូវប្រតិបត្តិ។ នៅក្នុងប្រតិបត្តិការដែលបានសង្កេតឃើញមួយចំនួន ការផ្ទុកដែលបានទម្លាក់ MonsterV2 ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីប្រើម៉ាស៊ីនមេ C2 ដូចគ្នាទៅនឹងបន្ទុកផ្សេងទៀត (ឧទាហរណ៍ StealC) ទោះបីជាយុទ្ធនាការផ្សេងទៀតទាំងនោះមិនត្រូវបានកំណត់ដោយផ្ទាល់ទៅ TA585 ក៏ដោយ។

សមត្ថភាពឯកសាររបស់ MonsterV2 គឺ៖

ការណែនាំអំពីការកាត់បន្ថយ និងការរកឃើញ

អ្នកការពារគួរតែចាត់ទុក TA585 ថាជាប្រតិបត្តិករដែលមានសមត្ថភាព រួមបញ្ចូលបញ្ឈរ ដែលរួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គម ការសម្របសម្រួលគេហទំព័រ និងបច្ចេកទេសប្រឆាំងការវិភាគជាស្រទាប់។ ឱកាសក្នុងការរកឃើញរួមមានៈ ការត្រួតពិនិត្យសកម្មភាពប្រអប់ PowerShell/Run គួរឱ្យសង្ស័យដែលមានប្រភពចេញពីលំហូរតាមគេហទំព័រ កំណត់អត្តសញ្ញាណការចាក់ JavaScript មិនធម្មតានៅលើគេហទំព័រស្របច្បាប់ ទប់ស្កាត់ប្រព័ន្ធគោលពីរដែលស្គាល់ SonicCrypt-packed តាមរយៈការរកឃើញអាកប្បកិរិយា និងការដាក់ទង់ការតភ្ជាប់ HVNC/បញ្ជាពីចម្ងាយដែលមិនបានរំពឹងទុក និងលំនាំការបណ្តេញចេញឯកសារ។ ការត្រួតពិនិត្យសម្រាប់ការទំនាក់ទំនងទៅកាន់ម៉ាស៊ីន C2 មិនធម្មតា និងសំណួរទៅកាន់សេវាសាធារណៈ IP-discovery (ឧទាហរណ៍ api.ipify.org) ដោយភ្ជាប់ជាមួយការផ្ទេរទិន្នន័យទៅក្រៅប្រទេសក៏អាចរកឃើញការឆ្លងមេរោគផងដែរ។

សង្ខេប

TA585 តំណាងឱ្យតួអង្គគំរាមកំហែងដែលធន់ទ្រាំ ដែលរក្សាការគ្រប់គ្រងលើការចែកចាយ ការដឹកជញ្ជូន និងប្រតិបត្តិការបន្ទុក។ ដោយការរួមបញ្ចូលការបន្លំ ការចាក់ JavaScript កម្រិតគេហទំព័រ ការលាបលើ CAPTCHA ក្លែងក្លាយ និងបន្ទុកពាណិជ្ជកម្ម MonsterV2 (ផ្ទុកដោយ SonicCrypt) តារាសម្តែងបានប្រមូលផ្តុំនូវសមត្ថភាពពហុវ៉ិចទ័រដែលអាចទុកចិត្តបានសម្រាប់ការលួចទិន្នន័យ និងការបញ្ជាពីចម្ងាយ។ ដោយសារភាពចាស់ទុំនៃប្រតិបត្តិការរបស់តួសម្តែង និងសំណុំមុខងារម៉ូឌុលនៃ MonsterV2 អង្គការនានាគួរតែផ្តល់អាទិភាពដល់ការរកឃើញការបើកដំណើរការពាក្យបញ្ជាដែលដំណើរការលើបណ្តាញ ខ្សែសង្វាក់ទាញយក PowerShell ដំណើរការប្រព័ន្ធគោលពីរ SonicCrypt-packed និង HVNC គួរឱ្យសង្ស័យ ឬសកម្មភាពបណ្តេញចេញ។