Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare MonsterV2-skadevare

MonsterV2-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Forskere innen nettsikkerhet har nylig avslørt en tidligere udokumentert trusselaktør, sporet som TA585, som har kjørt sofistikerte phishing- og nettinjeksjonskampanjer for å levere en standard skadevarefamilie kjent som MonsterV2.

TA585 — En operatør som eier hele kill chain-en

TA585 skiller seg ut fordi det ser ut til å kontrollere hele angrepskjeden fra ende til ende. I stedet for å kjøpe distribusjon, leie tilgang fra meglere for initial tilgang eller stole på tredjeparts trafikktjenester, administrerer TA585 sin egen infrastruktur, leveringsmekanismer og installasjonsverktøy. Analytikere beskriver klyngen som sofistikert: aktøren bruker webinjeksjoner, filtrering og miljøkontroller, og flere leveringsteknikker for å maksimere suksess og unngå analyse.

Phishing, ClickFix og lokkemidler med IRS-tema – den sosiale manipulasjonshåndboken
Tidlige kampanjer var basert på klassiske phishing-lokkemidler med tema fra den amerikanske skattemyndigheten IRS (Internal Revenue Service). Målene mottok meldinger som pekte til falske URL-er, som åpnet en PDF; denne PDF-filen inneholdt en lenke til en nettside som brukte ClickFix' sosial manipuleringstaktikk. ClickFix lurer et offer til å kjøre en kommando via Windows Kjør-dialogboks eller en PowerShell-terminal, som deretter kjører et oppfølgende PowerShell-skript for å hente og distribuere MonsterV2.

Nettinjeksjoner og falske CAPTCHA-overlegg

I påfølgende bølger sett i april 2025, gikk TA585 over til å kompromittere legitime nettsteder via ondsinnede JavaScript-injeksjoner. Disse injeksjonene produserte falske CAPTCHA-verifiseringsoverlegg som igjen utløste ClickFix-flyten og til slutt startet en PowerShell-kommando for å laste ned og starte skadevaren. JavaScript-injeksjonen og relatert infrastruktur (spesielt intlspring.com) har også blitt koblet til distribusjon av andre stealere, inkludert Rhadamanthys Stealer.

GitHub-misbruk og falske sikkerhetsvarsler

Et tredje sett med TA585-kampanjer misbrukte GitHubs varslingsmekanismer: aktøren merket GitHub-brukere i falske «sikkerhetsvarsler» som inneholdt URL-er som dirigerte ofre til aktørkontrollerte nettsteder. Disse falske GitHub-varslene var en annen vektor som ble brukt til å drive ofre inn i den samme ClickFix/PowerShell-kjeden.

CoreSecThree-rammeverket – Leveringsryggraden

Aktivitetsklyngene web-injeksjon og fake-GitHub har blitt assosiert med CoreSecThree, et rammeverk karakterisert av forskere som «sofistikert» og har vært i bruk siden februar 2022. CoreSecThree har blitt brukt konsekvent til å spre stjelingsskadevare på tvers av flere kampanjer.

MonsterV2 — Opprinnelse og varianter

MonsterV2 er en trussel med flere formål: en trojaner for fjerntilgang (RAT), stjeling og lasting. Forskere så den først bli annonsert på kriminelle fora i februar 2025. Den blir også referert til som «Aurotun Stealer» (en feilstaving av «autorun») og har tidligere blitt distribuert via CastleLoader (også kjent som CastleBot). Tidligere iterasjoner av TA585-aktivitet distribuerte Lumma Stealer før en overgang til MonsterV2 tidlig i 2025.

Kommersiell modell og geofencing

MonsterV2 selges av en russisktalende operatør. Priser observert på kriminelle markedsplasser: Standard-utgaven er på 800 USD per måned og Enterprise-utgaven er på 2000 USD per måned. Enterprise-nivået inkluderer stealer + loader, Hidden VNC (HVNC) og støtte for Chrome DevTools Protocol (CDP). Stealer-komponenten er konfigurert for å unngå å infisere land i Samveldet av uavhengige stater (CIS).

Pakking, antianalyse og kjøretidsoppførsel

MonsterV2 er vanligvis pakket med en C++-krypterer kalt SonicCrypt. SonicCrypt tilbyr lagdelte antianalysekontroller før dekryptering og lasting av nyttelasten, noe som muliggjør deteksjonsunndragelse. Under kjøretid dekrypterer nyttelasten, løser Windows API-funksjonene den krever og forsøker rettighetsheving. Deretter dekoder den en innebygd konfigurasjon som instruerer den hvordan den skal kontakte kommando-og-kontroll (C2) og hvilke handlinger den skal utføre.

Konfigurasjonsflaggene som brukes av MonsterV2 inkluderer:

  • anti_dbg – når den er sann, prøver skadevaren å oppdage og unngå feilsøkingsprogrammer.
  • anti_sandbox – når den er satt til True, forsøker skadevaren å oppdage sandkasser og bruker rudimentære anti-sandkasseteknikker.
  • aurotun – når det er sant, prøver skadevaren å etablere persistens (feilstavingen er kilden til navnet «Aurotun»).
  • priviledge_escalation – når den er satt til True, prøver skadevaren å heve privilegiene på verten.

Nettverk og C2-atferd

Hvis MonsterV2 når sin C2, sender den først grunnleggende systemtelemetri og geolokalisering ved å spørre en offentlig tjeneste (forskere observerte forespørsler til api.ipify.org). C2-svaret inneholder kommandoene som skal utføres. I noen observerte operasjoner ble MonsterV2-droppede nyttelaster konfigurert til å bruke samme C2-server som andre nyttelaster (for eksempel StealC), selv om disse andre kampanjene ikke ble direkte tilskrevet TA585.

De dokumenterte egenskapene til MonsterV2 er:

  • Stjel sensitive data og få dem ut på serveren.
  • Utfør vilkårlige kommandoer via cmd.exe eller PowerShell.
  • Avslutt, suspender eller gjenoppta prosesser.
  • Opprett HVNC-forbindelser til den infiserte verten.
  • Ta skjermbilder fra skrivebordet.
  • Kjør en keylogger.
  • Liste opp, manipulere, kopiere og eksfiltrere filer.
  • Slå av eller krasje systemet.
  • Last ned og utfør nyttelaster for neste trinn (eksempler observert: StealC og Remcos RAT).

Veiledning for avbøtende tiltak og deteksjon

Forsvarere bør behandle TA585 som en dyktig, vertikalt integrert operatør som blander sosial manipulering, nettstedskompromittering og lagdelte antianalyseteknikker. Deteksjonsmuligheter inkluderer: overvåking av mistenkelig PowerShell/Run-dialogaktivitet som stammer fra nettbaserte flyter, identifisering av anomale JavaScript-injeksjoner på legitime nettsteder, blokkering av kjente SonicCrypt-pakkede binærfiler via atferdsdeteksjon og flagging av uventede HVNC-/fjernkontrolltilkoblinger og filutfiltreringsmønstre. Overvåking av kommunikasjon til uvanlige C2-verter og spørringer til offentlige IP-oppdagelsestjenester (f.eks. api.ipify.org) i forbindelse med utgående dataoverføringer kan også avdekke infeksjoner.

Sammendrag

TA585 representerer en robust trusselaktør som beholder kontrollen over distribusjon, levering og nyttelastdrift. Ved å kombinere phishing, JavaScript-injeksjon på nettstedsnivå, falske CAPTCHA-overlegg og den kommersielle MonsterV2-nyttelasten (pakket med SonicCrypt), har aktøren satt sammen en pålitelig, multivektorfunksjon for datatyveri og fjernkontroll. Gitt aktørens operative modenhet og det modulære funksjonssettet til MonsterV2, bør organisasjoner prioritere deteksjon av nettdrevne kommandostarter, PowerShell-nedlastings-utførelseskjeder, SonicCrypt-pakkede binærfiler og mistenkelig HVNC- eller eksfiltreringsaktivitet.

Trender

Mest sett

Laster inn...