Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra MonsterV2 ļaunprogrammatūra

MonsterV2 ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības pētnieki nesen ir atmaskojuši iepriekš nedokumentētu apdraudējuma dalībnieku, kas izsekots kā TA585 un ir veicis sarežģītas pikšķerēšanas un tīmekļa injekcijas kampaņas, lai izplatītu standarta ļaunprogrammatūru saimi, kas pazīstama kā MonsterV2.

TA585 — operators, kuram pieder pilna nogalināšanas ķēde

TA585 izceļas ar to, ka šķiet, ka tas kontrolē visu savu uzbrukuma ķēdi no sākuma līdz beigām. Tā vietā, lai iegādātos izplatīšanu, nomātu piekļuvi no sākotnējās piekļuves brokeriem vai paļautos uz trešo pušu datplūsmas pakalpojumiem, TA585 pārvalda savu infrastruktūru, piegādes mehāniku un instalēšanas rīkus. Analītiķi raksturo klasteri kā sarežģītu: dalībnieks izmanto tīmekļa injekcijas, filtrēšanu un vides pārbaudes, kā arī vairākas piegādes metodes, lai maksimāli palielinātu panākumus un izvairītos no analīzes.

Pikšķerēšana, ClickFix un IRS tematikas ēsmas — sociālās inženierijas rokasgrāmata
Agrīnās kampaņas balstījās uz klasiskām pikšķerēšanas ēsmām, kuru tēma bija ASV Iekšējo ieņēmumu dienests (IRS). Mērķi saņēma ziņojumus, kas norādīja uz viltotiem URL, kuri atvēra PDF failu; šajā PDF failā bija saite uz tīmekļa lapu, kurā tika izmantota ClickFix sociālās inženierijas taktika. ClickFix ar viltību liek upurim izpildīt komandu, izmantojot Windows palaišanas dialoglodziņu vai PowerShell termināli, kas pēc tam izpilda papildu PowerShell skriptu, lai izvilktu un izvietotu MonsterV2.

Tīmekļa injekcijas un viltoti CAPTCHA pārklājumi

Turpmākajos uzbrukuma viļņos, kas tika novēroti 2025. gada aprīlī, TA585 pārgāja uz likumīgu tīmekļa vietņu apdraudēšanu, izmantojot ļaunprātīgas JavaScript injekcijas. Šīs injekcijas ģenerēja viltotus CAPTCHA verifikācijas pārklājumus, kas atkal aktivizēja ClickFix plūsmu un galu galā palaida PowerShell komandu ļaunprogrammatūras lejupielādei un palaišanai. JavaScript injekcija un ar to saistītā infrastruktūra (īpaši intlspring.com) ir saistīta arī ar citu zagļu, tostarp Rhadamanthys Stealer, izplatīšanu.

GitHub ļaunprātīga izmantošana un viltoti drošības paziņojumi

Trešajā TA585 kampaņu kopā tika ļaunprātīgi izmantota GitHub paziņojumu mehānika: iesaistītais dalībnieks atzīmēja GitHub lietotājus krāpnieciskos “drošības” paziņojumos, kuros bija URL, kas upurus novirzīja uz iesaistīto personu kontrolētām vietnēm. Šie viltus GitHub brīdinājumi bija vēl viens vektors, ko izmantoja, lai ievilinātu upurus tajā pašā ClickFix/PowerShell ķēdē.

CoreSecThree ietvars — piegādes mugurkauls

Tīmekļa injekciju un viltoto GitHub aktivitāšu klasteri ir saistīti ar CoreSecThree — ietvaru, ko pētnieki raksturo kā “sarežģītu” un kas tiek izmantots kopš 2022. gada februāra. CoreSecThree ir pastāvīgi izmantots zagļu ļaunprogrammatūras izplatīšanai vairākās kampaņās.

MonsterV2 — Izcelsme un varianti

MonsterV2 ir daudzfunkcionāls apdraudējums: attālās piekļuves Trojas zirgs (RAT), zaglis un ielādētājs. Pētnieki pirmo reizi tā reklāmu noziedznieku forumos pamanīja 2025. gada februārī. To dēvē arī par “Aurotun Stealer” (nepareiza vārda “autorun” uzrakstīšana) un iepriekš tas ir izplatīts, izmantojot CastleLoader (pazīstams arī kā CastleBot). Iepriekšējās TA585 aktivitātes iterācijās Lumma Stealer tika izplatīts pirms pārejas uz MonsterV2 2025. gada sākumā.

Komerciālais modelis un ģeogrāfiskā nožogošana

MonsterV2 pārdod krievvalodīgs operators. Noziedzīgajās tirdzniecības platformās novērotās cenas: standarta versija — 800 ASV dolāru mēnesī un uzņēmuma versija — 2000 ASV dolāru mēnesī. Uzņēmuma līmenī ietilpst zagļa un ielādētāja, slēptā VNC (HVNC) un Chrome DevTools protokola (CDP) atbalsts. Zagļa komponents ir konfigurēts tā, lai izvairītos no Neatkarīgo Valstu Sadraudzības (NVS) valstu inficēšanas.

Iepakošana, antianalīze un izpildes laika uzvedība

MonsterV2 parasti ir aprīkots ar C++ šifrētāju ar nosaukumu SonicCrypt. SonicCrypt nodrošina slāņveida antianalīzes pārbaudes pirms vērtuma atšifrēšanas un ielādes, ļaujot izvairīties no atklāšanas. Izpildes laikā vērtums atšifrē, atrisina nepieciešamās Windows API funkcijas un mēģina palielināt privilēģijas. Pēc tam tas dekodē iegultu konfigurāciju, kas tam norāda, kā sazināties ar tā Command-and-Control (C2) un kādas darbības veikt.

MonsterV2 izmantotie konfigurācijas karodziņi ietver:

  • anti_dbg — ja vērtība ir True (patiesa), ļaunprogrammatūra mēģina atklāt un apiet atkļūdotājus.
  • anti_sandbox — ja vērtība ir True, ļaunprogrammatūra mēģina noteikt smilškastes vidi un izmanto elementāras pretsmilškastes metodes.
  • aurotun — ja vērtība ir True (patiesa), ļaunprogrammatūra mēģina saglabāt pastāvību (pareizrakstības kļūda ir nosaukuma “Aurotun” avots).
  • priviledge_escalation — ja vērtība ir True, ļaunprogrammatūra mēģina paaugstināt privilēģijas resursdatorā.

Tīklošanās un C2 uzvedība

Ja MonsterV2 veiksmīgi sasniedz savu C2, tas vispirms nosūta pamata sistēmas telemetriju un ģeolokāciju, vaicājot publiskam pakalpojumam (pētnieki novēroja pieprasījumus uz api.ipify.org). C2 atbilde satur izpildāmās komandas. Dažās novērotajās operācijās MonsterV2 atmestās slodzes tika konfigurētas, lai izmantotu to pašu C2 serveri kā citas slodzes (piemēram, StealC), lai gan šīs citas kampaņas netika tieši attiecinātas uz TA585.

MonsterV2 dokumentētās iespējas ir:

  • Nozagt sensitīvus datus un izfiltrēt tos serverī.
  • Izpildiet patvaļīgas komandas, izmantojot cmd.exe vai PowerShell.
  • Pārtraukt, apturēt vai atsākt procesus.
  • Izveidojiet HVNC savienojumus ar inficēto resursdatoru.
  • Uzņemiet darbvirsmas ekrānuzņēmumus.
  • Palaidiet taustiņu reģistrētāju.
  • Uzskaitīt, manipulēt, kopēt un izfiltrēt failus.
  • Izslēgt vai izraisīt sistēmas avāriju.
  • Lejupielādēt un izpildīt nākamā posma vērtumus (novērotie piemēri: StealC un Remcos RAT).

Mazināšanas un atklāšanas vadlīnijas

Aizsargiem vajadzētu uztvert TA585 kā spējīgu, vertikāli integrētu operatoru, kas apvieno sociālās inženierijas, vietņu kompromitēšanas un slāņveida antianalīzes metodes. Atklāšanas iespējas ietver: aizdomīgu PowerShell/Run dialoglodziņu darbību uzraudzību no tīmekļa plūsmām, anomālu JavaScript injekciju identificēšanu likumīgās vietnēs, zināmu SonicCrypt iepakotu bināro failu bloķēšanu, izmantojot uzvedības noteikšanu, un negaidītu HVNC/attālās vadības savienojumu un failu eksfiltrācijas modeļu atzīmēšanu. Arī saziņas ar neparastiem C2 resursdatoriem un vaicājumu uzraudzība publiskiem IP noteikšanas pakalpojumiem (piemēram, api.ipify.org) saistībā ar izejošo datu pārsūtīšanu var atklāt infekcijas.

Kopsavilkums

TA585 ir noturīgs apdraudējumu aģents, kas saglabā kontroli pār izplatīšanu, piegādi un vērtuma darbību. Apvienojot pikšķerēšanu, vietnes līmeņa JavaScript injekciju, viltotus CAPTCHA pārklājumus un komerciālo MonsterV2 vērtumu (kopā ar SonicCrypt), aģents ir izveidojis uzticamu, daudzvektoru iespēju datu zādzībai un attālinātai vadībai. Ņemot vērā aģenta darbības briedumu un MonsterV2 modulāro funkciju kopumu, organizācijām vajadzētu prioritāri noteikt tīmekļa vadītu komandu palaišanu, PowerShell lejupielādes un izpildes ķēdes, SonicCrypt iepakotus bināro failu un aizdomīgu HVNC vai eksfiltrācijas darbību.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,770
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...