Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „MonsterV2“ kenkėjiška programa

„MonsterV2“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo tyrėjai neseniai atskleidė anksčiau nedokumentuotą grėsmės veikėją, atsektą kaip TA585, kuris vykdė sudėtingas sukčiavimo ir interneto injekcijų kampanijas, siekdamas platinti standartinę kenkėjiškų programų šeimą, žinomą kaip „MonsterV2“.

TA585 – operatorius, kuriam priklauso visa žudymo grandinė

TA585 išsiskiria tuo, kad, regis, kontroliuoja visą atakų grandinę nuo pradžios iki galo. Užuot pirkęs platinimą, nuomojęs prieigą iš pradinės prieigos tarpininkų ar pasikliaudamas trečiųjų šalių srauto paslaugomis, TA585 valdo savo infrastruktūrą, pristatymo mechaniką ir diegimo įrankius. Analitikai apibūdina klasterį kaip sudėtingą: veikėjas naudoja žiniatinklio injekcijas, filtravimą ir aplinkos patikrinimus bei kelis pristatymo metodus, kad maksimaliai padidintų sėkmę ir išvengtų analizės.

Sukčiavimas apsimetant, „ClickFix“ ir IRS tematikos viliokliai – socialinės inžinerijos vadovas
Ankstyvosios kampanijos rėmėsi klasikinėmis sukčiavimo masalų programomis, kurių tema buvo JAV vidaus pajamų tarnyba (IRS). Aukai buvo siunčiami pranešimai, nukreipiantys į suklastotus URL adresus, kurie atidarė PDF failą; tame PDF faile buvo nuoroda į tinklalapį, kuriame buvo naudojama „ClickFix“ socialinės inžinerijos taktika. „ClickFix“ apgaule priverčia auką paleisti komandą per „Windows“ vykdymo dialogo langą arba „PowerShell“ terminalą, kuris vėliau vykdo tolesnį „PowerShell“ scenarijų, kad būtų galima išgauti ir įdiegti „MonsterV2“.

Žiniatinklio injekcijos ir netikros CAPTCHA perdangos

Vėlesnėse bangose, pastebėtose 2025 m. balandžio mėn., TA585 perėjo prie teisėtų svetainių kompromitavimo naudojant kenkėjiškas „JavaScript“ injekcijas. Šios injekcijos sugeneravo netikras CAPTCHA patvirtinimo užklotas, kurios vėl suaktyvino „ClickFix“ srautą ir galiausiai paleido „PowerShell“ komandą, skirtą kenkėjiškai programai atsisiųsti ir paleisti. „JavaScript“ injekcija ir susijusi infrastruktūra (ypač intlspring.com) taip pat buvo susietos su kitų vagių, įskaitant „Rhadamanthys Stealer“, platinimu.

„GitHub“ piktnaudžiavimas ir netikri saugumo pranešimai

Trečiasis TA585 kampanijų rinkinys piktnaudžiavo „GitHub“ pranešimų mechanika: veikėjas pažymėjo „GitHub“ naudotojus apgaulingais „saugumo“ pranešimais, kuriuose buvo URL adresai, nukreipiantys aukas į veikėjų kontroliuojamas svetaines. Šie netikri „GitHub“ įspėjimai buvo dar vienas būdas nukreipti aukas į tą pačią „ClickFix“ / „PowerShell“ grandinę.

„CoreSecThree“ sistema – pristatymo pagrindas

Žiniatinklio injekcijų ir netikrų „GitHub“ veiklos klasteriai buvo siejami su „CoreSecThree“ – sistema, kurią tyrėjai apibūdina kaip „sudėtingą“ ir naudojamą nuo 2022 m. vasario mėn. „CoreSecThree“ buvo nuolat naudojama kenkėjiškų programų vagystei platinti įvairiose kampanijose.

„MonsterV2“ – ištakos ir variantai

„MonsterV2“ yra daugiafunkcė grėsmė: nuotolinės prieigos Trojos arklys (RAT), vagis ir įkrovos programa. Tyrėjai pirmą kartą ją pastebėjo reklamuojant nusikaltėlių forumuose 2025 m. vasarį. Ji taip pat vadinama „Aurotun Stealer“ (klaidinga žodžio „autorun“ rašyba) ir anksčiau buvo platinama per „CastleLoader“ (taip pat žinomą kaip „CastleBot“). Ankstesnės TA585 veiklos versijos platino „Lumma Stealer“ prieš 2025 m. pradžioje įdiegiant „MonsterV2“.

Komercinis modelis ir geofencingas

„MonsterV2“ parduoda rusakalbis operatorius. Nusikalstamose prekyvietėse stebimos kainos: standartinė versija – 800 USD per mėnesį, o „enterprise“ versija – 2000 USD per mėnesį. „Enterprise“ paketas apima vagystės ir įkėlimo programą, paslėpto VNC (HVNC) ir „Chrome DevTools“ protokolo (CDP) palaikymą. Vagystės komponentas sukonfigūruotas taip, kad nebūtų užkrečiamos Nepriklausomų Valstybių Sandraugos (NVS) šalys.

Pakavimas, antianalizė ir veikimo laikas vykdymo metu

„MonsterV2“ paprastai turi C++ šifravimo įrankį, vadinamą „SonicCrypt“. Prieš iššifruojant ir įkeliant naudingąją apkrovą, „SonicCrypt“ atlieka sluoksniuotus antianalizės patikrinimus, taip išvengiant aptikimo. Vykdymo metu naudingoji apkrova iššifruojama, išsprendžia reikiamas „Windows“ API funkcijas ir bandoma padidinti privilegijas. Tada ji dekoduoja įterptąją konfigūraciją, kuri nurodo, kaip susisiekti su jos „Command-and-Control“ (C2) ir kokių veiksmų imtis.

„MonsterV2“ naudojamos konfigūracijos vėliavėlės apima:

  • anti_dbg – kai reikšmė „True“, kenkėjiška programa bando aptikti ir apeiti derinimo programas.
  • anti_sandbox – kai reikšmė „True“, kenkėjiška programa bando aptikti „smėlio dėžę“ ir naudoja elementarius apsaugos nuo „smėlio dėžės“ metodus.
  • aurotun – kai reikšmė teisinga, kenkėjiška programa bando išlikti aktyvi (rašybos klaida yra „Aurotun“ pavadinimo šaltinis).
  • priviledge_escalation – kai ši reikšmė yra „True“, kenkėjiška programa bando padidinti privilegijas pagrindiniame kompiuteryje.

Tinklaveika ir C2 elgesys

Jei „MonsterV2“ sėkmingai pasiekia savo C2, jis pirmiausia nusiunčia pagrindinę sistemos telemetriją ir geolokacijos duomenis, pateikdamas užklausą viešajai paslaugai (tyrėjai stebėjo užklausas, siunčiamas adresu api.ipify.org). C2 atsakyme pateikiamos vykdytinos komandos. Kai kuriose stebimose operacijose „MonsterV2“ atmesti naudingieji duomenys buvo sukonfigūruoti naudoti tą patį C2 serverį kaip ir kiti naudingieji duomenys (pavyzdžiui, „StealC“), nors tos kitos kampanijos nebuvo tiesiogiai priskirtos TA585.

Dokumentuotos „MonsterV2“ galimybės yra šios:

  • Pavogti slaptus duomenis ir juos išfiltruoti į serverį.
  • Vykdykite savavališkas komandas naudodami cmd.exe arba PowerShell.
  • Nutraukti, sustabdyti arba atnaujinti procesus.
  • Užmegzkite HVNC ryšius su užkrėstu kompiuteriu.
  • Užfiksuokite darbalaukio ekrano kopijas.
  • Paleiskite klavišų kaupiklį.
  • Išvardinti, manipuliuoti, kopijuoti ir išfiltruoti failus.
  • Išjungti arba sugadinti sistemą.
  • Atsisiųsti ir vykdyti kito etapo naudingąsias apkrovas (stebėti pavyzdžiai: „StealC“ ir „Remcos RAT“).

    • Švelninimo ir aptikimo gairės

    Apsaugos institucijos turėtų traktuoti TA585 kaip pajėgų, vertikaliai integruotą operatorių, kuris derina socialinės inžinerijos, svetainių kompromitavimo ir daugiasluoksnės antianalizės metodus. Aptikimo galimybės apima: įtartinos „PowerShell“ / „Run“ dialogo veiklos, kylančios iš žiniatinklio srautų, stebėjimą, anomalių „JavaScript“ injekcijų identifikavimą teisėtose svetainėse, žinomų „SonicCrypt“ supakuotų dvejetainių failų blokavimą naudojant elgesio aptikimus ir netikėtų HVNC / nuotolinio valdymo ryšių bei failų išgavimo modelių žymėjimą. Ryšio su neįprastais C2 pagrindiniais kompiuteriais ir užklausų viešosioms IP aptikimo paslaugoms (pvz., api.ipify.org) stebėjimas kartu su siunčiamais duomenų perdavimais taip pat gali atskleisti infekcijas.

    Santrauka

    TA585 yra atsparus grėsmių aktorius, kuris išlaiko platinimo, pristatymo ir naudingosios apkrovos operacijų kontrolę. Derindamas sukčiavimą apsimetant kitais būdais, svetainės lygio „JavaScript“ injekciją, netikras CAPTCHA perdangas ir komercinę „MonsterV2“ naudingąją apkrovą (sukomplektuotą su „SonicCrypt“), aktorius sukūrė patikimą, daugiavektorinę duomenų vagystės ir nuotolinio valdymo galimybę. Atsižvelgiant į aktoriaus veiklos brandą ir modulinį „MonsterV2“ funkcijų rinkinį, organizacijos turėtų teikti pirmenybę žiniatinklio valdomų komandų paleidimų, „PowerShell“ atsisiuntimo ir vykdymo grandinių, „SonicCrypt“ supakuotų dvejetainių failų ir įtartinos HVNC arba eksfiltracijos veiklos aptikimui.

    Tendencijos

    Labiausiai žiūrima

    Kenkėjiška programa

    Sukčiavimas, Šlamštas
    33,770
    Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
    Įkeliama...