Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad MonsterV2

Perisian Hasad MonsterV2

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Penyelidik keselamatan siber baru-baru ini mendedahkan pelakon ancaman yang tidak berdokumen sebelum ini, dijejaki sebagai TA585, yang telah menjalankan kempen pancingan data dan suntikan web yang canggih untuk menyampaikan keluarga perisian hasad luar biasa yang dikenali sebagai MonsterV2.

TA585 — Operator yang Memiliki Rantaian Pembunuhan Penuh

TA585 menyerlah kerana ia kelihatan mengawal keseluruhan rantaian serangannya dari hujung ke hujung. Daripada membeli pengedaran, memajak akses daripada broker akses permulaan atau bergantung pada perkhidmatan trafik pihak ketiga, TA585 menguruskan infrastrukturnya sendiri, mekanik penghantaran dan peralatan pemasangan. Penganalisis menggambarkan kluster sebagai canggih: pelakon menggunakan suntikan web, penapisan dan semakan persekitaran, dan pelbagai teknik penyampaian untuk memaksimumkan kejayaan dan mengelakkan analisis.

Gewang bertemakan Phishing, ClickFix dan IRS — buku permainan kejuruteraan sosial
Kempen awal bergantung pada gewang pancingan data klasik yang bertemakan Perkhidmatan Hasil Dalam Negeri (IRS) AS. Sasaran menerima mesej yang menunjukkan URL palsu, yang membuka PDF; bahawa PDF mengandungi pautan ke halaman web yang menggunakan taktik kejuruteraan sosial ClickFix. ClickFix memperdaya mangsa untuk menjalankan arahan melalui dialog Windows Run atau terminal PowerShell, yang kemudiannya melaksanakan skrip PowerShell susulan untuk menarik dan menggunakan MonsterV2.

Suntikan Web Dan Tindanan CAPTCHA Palsu

Dalam gelombang berikutnya yang dilihat pada April 2025, TA585 beralih kepada menjejaskan tapak web yang sah melalui suntikan JavaScript yang berniat jahat. Suntikan tersebut menghasilkan tindanan pengesahan CAPTCHA palsu yang sekali lagi mencetuskan aliran ClickFix dan akhirnya melancarkan perintah PowerShell untuk memuat turun dan memulakan perisian hasad. Inject JavaScript dan infrastruktur yang berkaitan (terutamanya intlspring.com) juga telah dikaitkan dengan pengedaran pencuri lain, termasuk Rhadamanthys Stealer.

Penyalahgunaan GitHub Dan Notis Keselamatan Bogus

Set ketiga kempen TA585 menyalahgunakan mekanik pemberitahuan GitHub: pelakon itu menandakan pengguna GitHub dalam notis 'keselamatan' penipuan yang mengandungi URL yang mengarahkan mangsa ke tapak terkawal aktor. Makluman GitHub palsu ini adalah vektor lain yang digunakan untuk mendorong mangsa ke rantai ClickFix/PowerShell yang sama.

Rangka Kerja CoreSecThree — Tulang Belakang Penghantaran

Kelompok aktiviti web‑inject dan‑GitHub palsu telah dikaitkan dengan CoreSecThree, rangka kerja yang dicirikan oleh penyelidik sebagai 'canggih' dan digunakan sejak Februari 2022. CoreSecThree telah digunakan secara konsisten untuk menyebarkan perisian hasad pencuri merentas berbilang kempen.

MonsterV2 — Asal-usul dan Varian

MonsterV2 ialah ancaman pelbagai guna: trojan akses jauh (RAT), pencuri dan pemuat. Penyelidik pertama kali melihatnya diiklankan di forum jenayah pada Februari 2025. Ia juga dirujuk sebagai 'Aurotun Stealer' (salah ejaan 'autorun') dan sebelum ini telah diedarkan melalui CastleLoader (juga dikenali sebagai CastleBot). Lelaran awal aktiviti TA585 mengedarkan Lumma Stealer sebelum pangsi awal-2025 kepada MonsterV2.

Model Komersial Dan Geofencing

MonsterV2 dijual oleh pengendali berbahasa Rusia. Harga diperhatikan di pasaran jenayah: edisi Standard pada USD 800 sebulan dan edisi Perusahaan pada USD 2,000 sebulan. Peringkat Perusahaan termasuk pencuri + pemuat, VNC Tersembunyi (HVNC) dan sokongan Protokol Chrome DevTools (CDP). Komponen pencuri dikonfigurasikan untuk mengelak menjangkiti negara-negara Komanwel Negara Merdeka (CIS).

Pembungkusan, Anti-analisis dan Gelagat Masa Jalan

MonsterV2 biasanya dibungkus dengan crypter C++ bernama SonicCrypt. SonicCrypt menyediakan semakan anti-analisis berlapis sebelum menyahsulit dan memuatkan muatan, membolehkan pengelakan pengesanan. Pada masa jalan, muatan menyahsulit, menyelesaikan fungsi API Windows yang diperlukannya dan mencuba peningkatan keistimewaan. Ia kemudian menyahkod konfigurasi terbenam yang mengarahkannya cara menghubungi Command-and-Control (C2) dan tindakan yang perlu diambil.

Bendera konfigurasi yang digunakan oleh MonsterV2 termasuk:

  • anti_dbg — apabila Benar, perisian hasad cuba untuk mengesan dan mengelak penyahpepijat.
  • anti_sandbox — apabila Benar, perisian hasad mencuba pengesanan kotak pasir dan menggunakan teknik anti-kotak pasir asas.
  • aurotun — apabila Benar, perisian hasad cuba mewujudkan kegigihan (salah ejaan ialah sumber nama 'Aurotun').
  • priviledge_escalation — apabila Benar, perisian hasad cuba untuk meningkatkan keistimewaan pada hos.

Rangkaian Dan Tingkah Laku C2

Jika MonsterV2 berjaya mencapai C2nya, ia mula-mula menghantar telemetri sistem asas dan geolokasi dengan menanyakan perkhidmatan awam (penyelidik memerhatikan permintaan ke api.ipify.org). Respons C2 mengandungi arahan untuk dilaksanakan. Dalam beberapa operasi yang diperhatikan, muatan yang digugurkan MonsterV2 telah dikonfigurasikan untuk menggunakan pelayan C2 yang sama seperti muatan lain (contohnya, StealC), walaupun kempen lain tersebut tidak dikaitkan secara langsung dengan TA585.

Keupayaan MonsterV2 yang didokumenkan ialah:

  • Curi data sensitif dan keluarkannya ke pelayan.
  • Laksanakan arahan sewenang-wenangnya melalui cmd.exe atau PowerShell.
  • Menamatkan, menggantung atau menyambung semula proses.
  • Wujudkan sambungan HVNC kepada hos yang dijangkiti.
  • Tangkap tangkapan skrin desktop.
  • Jalankan keylogger.
  • Hitung, manipulasi, salin, dan keluarkan fail.
  • Matikan atau ranap sistem.
  • Muat turun dan laksanakan muatan peringkat seterusnya (contoh diperhatikan: StealC dan Remcos RAT).

Panduan Tebatan Dan Pengesanan

Pembela harus menganggap TA585 sebagai pengendali bersepadu menegak yang berkebolehan yang menggabungkan kejuruteraan sosial, kompromi tapak dan teknik anti-analisis berlapis. Peluang pengesanan termasuk: memantau aktiviti dialog PowerShell/Run yang mencurigakan yang berasal daripada aliran berasaskan web, mengenal pasti suntikan JavaScript anomali pada tapak yang sah, menyekat binari yang dibungkus SonicCrypt yang diketahui melalui pengesanan tingkah laku dan membenderakan sambungan HVNC/kawalan jauh yang tidak dijangka dan corak pengekstrakan fail. Pemantauan untuk komunikasi kepada hos C2 yang luar biasa dan pertanyaan kepada perkhidmatan penemuan IP awam (cth, api.ipify.org) bersama-sama dengan pemindahan data keluar juga mungkin mendedahkan jangkitan.

Ringkasan

TA585 mewakili pelakon ancaman yang berdaya tahan yang mengekalkan kawalan ke atas pengedaran, penghantaran dan operasi muatan. Dengan menggabungkan pancingan data, suntikan JavaScript peringkat tapak, tindanan CAPTCHA palsu dan muatan MonsterV2 komersial (dilengkapi dengan SonicCrypt), pelakon itu telah mengumpulkan keupayaan berbilang vektor yang boleh dipercayai untuk kecurian data dan alat kawalan jauh. Memandangkan kematangan operasi pelakon dan set ciri modular MonsterV2, organisasi harus mengutamakan pengesanan pelancaran arahan dipacu web, rantaian muat turun PowerShell, binari yang dibungkus SonicCrypt dan aktiviti HVNC atau exfiltration yang mencurigakan.

Trending

Paling banyak dilihat

Memuatkan...