MonsterV2 맬웨어
사이버 보안 연구원들은 최근 TA585로 추적된, 이전에 문서화되지 않은 위협 행위자를 폭로했습니다. 이 위협 행위자는 정교한 피싱 및 웹 주입 캠페인을 실행하여 MonsterV2로 알려진 기성 맬웨어 제품군을 배포해 왔습니다.
목차
TA585 — 전체 킬 체인을 소유한 운영자
TA585는 전체 공격 체인을 엔드 투 엔드로 제어하는 것처럼 보이기 때문에 두드러집니다. TA585는 배포 시스템을 구매하거나, 초기 액세스 브로커로부터 액세스를 임대하거나, 타사 트래픽 서비스에 의존하는 대신 자체 인프라, 전송 메커니즘 및 설치 도구를 관리합니다. 분석가들은 이 클러스터가 정교하다고 설명합니다. 공격자는 웹 인젝션, 필터링, 환경 검사 및 다양한 전송 기법을 사용하여 공격 성공률을 극대화하고 분석을 피합니다.
피싱, ClickFix 및 IRS 테마 미끼 - 소셜 엔지니어링 플레이북
초기 캠페인은 미국 국세청(IRS)을 주제로 한 고전적인 피싱 미끼를 사용했습니다. 대상은 가짜 URL로 연결되는 메시지를 받았고, 이 URL을 클릭하면 PDF 파일이 열렸습니다. 해당 PDF 파일에는 ClickFix 소셜 엔지니어링 기법을 사용하는 웹페이지 링크가 포함되어 있었습니다. ClickFix는 피해자가 Windows 실행 대화 상자나 PowerShell 터미널을 통해 명령을 실행하도록 속입니다. 그러면 해당 명령은 후속 PowerShell 스크립트를 실행하여 MonsterV2를 풀링하고 배포합니다.
웹 주입 및 가짜 CAPTCHA 오버레이
2025년 4월에 발생한 후속 공격에서 TA585는 악성 자바스크립트 주입을 통해 합법적인 웹사이트를 침해하는 방식으로 전환했습니다. 이러한 주입은 가짜 CAPTCHA 확인 오버레이를 생성하여 다시 ClickFix 흐름을 트리거하고 궁극적으로 악성코드를 다운로드하고 실행하는 PowerShell 명령을 실행했습니다. 자바스크립트 주입 및 관련 인프라(특히 intlspring.com)는 Rhadamanthys Stealer를 포함한 다른 스틸러의 배포와도 관련이 있는 것으로 밝혀졌습니다.
GitHub 남용 및 허위 보안 공지
세 번째 TA585 캠페인은 GitHub의 알림 메커니즘을 악용했습니다. 공격자는 피해자를 공격자가 제어하는 사이트로 유도하는 URL이 포함된 사기성 '보안' 알림에 GitHub 사용자를 태그했습니다. 이러한 가짜 GitHub 알림은 피해자를 동일한 ClickFix/PowerShell 공격으로 유인하는 또 다른 경로였습니다.
CoreSecThree 프레임워크 - 전달 백본
웹 주입 및 가짜 GitHub 활동 클러스터는 CoreSecThree와 관련이 있습니다. CoreSecThree는 연구원들이 '정교하다'고 평가한 프레임워크로, 2022년 2월부터 사용되고 있습니다. CoreSecThree는 여러 캠페인에 걸쳐 스틸러 맬웨어를 확산하는 데 지속적으로 사용되었습니다.
MonsterV2 — 기원과 변형
MonsterV2는 원격 접속 트로이 목마(RAT), 스틸러, 로더 기능을 모두 갖춘 다목적 위협입니다. 연구원들은 2025년 2월 범죄 포럼에서 이 악성코드가 처음 광고되는 것을 목격했습니다. 'Aurotun Stealer'('autorun'의 철자 오류)로도 언급되며, 이전에는 CastleLoader(CastleBot이라고도 함)를 통해 유포되었습니다. 2025년 초 MonsterV2로 전환하기 전에는 TA585 활동의 초기 버전에서 Lumma Stealer가 유포되었습니다.
상업 모델 및 지오펜싱
MonsterV2는 러시아어를 구사하는 운영자를 통해 판매됩니다. 범죄 시장에서 판매되는 가격은 Standard 에디션이 월 800달러, Enterprise 에디션이 월 2,000달러입니다. Enterprise 에디션에는 스틸러 + 로더, 히든 VNC(HVNC), Chrome DevTools 프로토콜(CDP) 지원이 포함됩니다. 스틸러 구성 요소는 독립 국가 연합(CIS) 국가를 감염시키지 않도록 설계되었습니다.
패킹, 안티 분석 및 런타임 동작
MonsterV2는 일반적으로 SonicCrypt라는 C++ 암호화 도구를 포함하고 있습니다. SonicCrypt는 페이로드를 복호화하고 로드하기 전에 계층화된 분석 방지 검사를 제공하여 탐지를 회피할 수 있도록 합니다. 런타임 시 페이로드는 복호화하고, 필요한 Windows API 함수를 확인하고, 권한 상승을 시도합니다. 그런 다음 명령 및 제어(C2)에 접속하는 방법과 수행해야 할 작업을 지시하는 내장된 구성을 디코딩합니다.
MonsterV2에서 사용하는 구성 플래그는 다음과 같습니다.
- anti_dbg — True인 경우, 맬웨어는 디버거를 감지하고 회피하려고 시도합니다.
- anti_sandbox — True인 경우, 맬웨어는 샌드박스 감지를 시도하고 기본적인 안티 샌드박스 기술을 사용합니다.
- aurotun — True인 경우, 맬웨어는 지속성을 확립하려고 시도합니다('Aurotun'이라는 이름은 철자 오류로 인해 생성되었습니다).
- priviledge_escalation — True인 경우 맬웨어는 호스트의 권한을 상승시키려고 시도합니다.
네트워킹 및 C2 동작
MonsterV2가 C2에 성공적으로 접속하면, 먼저 공개 서비스(연구원들은 api.ipify.org에 대한 요청을 관찰했습니다)에 쿼리를 보내 기본 시스템 원격 측정 및 위치 정보를 전송합니다. C2 응답에는 실행할 명령이 포함되어 있습니다. 일부 관찰된 작전에서 MonsterV2가 투하한 페이로드는 다른 페이로드(예: StealC)와 동일한 C2 서버를 사용하도록 구성되었지만, 이러한 다른 캠페인은 TA585와 직접적으로 연관되지 않았습니다.
MonsterV2의 문서화된 기능은 다음과 같습니다.
완화 및 탐지 지침
방어자는 TA585를 소셜 엔지니어링, 사이트 침해, 그리고 다층적인 분석 방지 기법을 결합한 유능하고 수직적으로 통합된 운영자로 간주해야 합니다. 탐지 기회에는 웹 기반 흐름에서 발생하는 의심스러운 PowerShell/Run 대화 활동 모니터링, 정상 사이트에서 발생하는 비정상적인 JavaScript 삽입 식별, 동작 탐지를 통한 알려진 SonicCrypt로 압축된 바이너리 차단, 예상치 못한 HVNC/원격 제어 연결 및 파일 유출 패턴 플래그 지정 등이 포함됩니다. 비정상적인 C2 호스트와의 통신 및 공개 IP 검색 서비스(예: api.ipify.org)에 대한 쿼리를 아웃바운드 데이터 전송과 함께 모니터링하여 감염을 발견할 수도 있습니다.
요약
TA585는 배포, 전달 및 페이로드 운영에 대한 통제권을 유지하는 복원력 있는 위협 행위자입니다. 피싱, 사이트 수준 JavaScript 주입, 가짜 CAPTCHA 오버레이, 그리고 SonicCrypt가 포함된 상용 MonsterV2 페이로드를 결합하여 데이터 유출 및 원격 제어를 위한 안정적인 다중 벡터 기능을 구축했습니다. 이 공격자의 운영적 성숙도와 MonsterV2의 모듈식 기능 세트를 고려할 때, 조직은 웹 기반 명령 실행, PowerShell 다운로드 실행 체인, SonicCrypt로 구성된 바이너리, 그리고 의심스러운 HVNC 또는 유출 활동 탐지를 우선시해야 합니다.
