MonsterV2 मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले हालै TA585 को रूपमा ट्र्याक गरिएको पहिले कागजात नगरिएको खतरा अभिनेताको पर्दाफास गरेका छन्, जसले MonsterV2 को रूपमा चिनिने अफ-द-शेल्फ मालवेयर परिवार प्रदान गर्न परिष्कृत फिसिङ र वेब-इन्जेक्शन अभियानहरू चलाउँदै आएको छ।

TA585 — पूर्ण किल चेनको स्वामित्वमा रहेको अपरेटर

TA585 ले आफ्नो सम्पूर्ण आक्रमण श्रृंखलालाई अन्त्यदेखि अन्त्यसम्म नियन्त्रण गर्ने देखिन्छ। वितरण किन्न, प्रारम्भिक पहुँच दलालहरूबाट पहुँच भाडामा लिन वा तेस्रो-पक्ष ट्राफिक सेवाहरूमा भर पर्नुको सट्टा, TA585 ले आफ्नै पूर्वाधार, डेलिभरी मेकानिक्स, र स्थापना उपकरण व्यवस्थापन गर्दछ। विश्लेषकहरूले क्लस्टरलाई परिष्कृत रूपमा वर्णन गर्छन्: अभिनेताले सफलतालाई अधिकतम बनाउन र विश्लेषणबाट बच्न वेब इन्जेक्सन, फिल्टरिङ, र वातावरण जाँचहरू, र बहु डेलिभरी प्रविधिहरू प्रयोग गर्दछ।

फिसिङ, क्लिकफिक्स, र आईआरएस-थीम भएका लुर्सहरू - सामाजिक इन्जिनियरिङ प्लेबुक
प्रारम्भिक अभियानहरू अमेरिकी आन्तरिक राजस्व सेवा (IRS) वरिपरि थीम गरिएको क्लासिक फिसिङ लुर्समा निर्भर थिए। लक्षितहरूले नक्कली URL हरूलाई औंल्याउने सन्देशहरू प्राप्त गरे, जसले PDF खोल्यो; त्यो PDF मा ClickFix सामाजिक-इन्जिनियरिङ रणनीति प्रयोग गर्ने वेब पृष्ठको लिङ्क थियो। ClickFix ले पीडितलाई Windows Run संवाद वा PowerShell टर्मिनल मार्फत आदेश चलाउन छल गर्छ, जसले त्यसपछि MonsterV2 तान्न र तैनाथ गर्न फलो-अन PowerShell स्क्रिप्ट कार्यान्वयन गर्दछ।

वेब इंजेक्शनहरू र नक्कली क्याप्चा ओभरलेहरू

अप्रिल २०२५ मा देखिएको पछिल्ला लहरहरूमा, TA585 ले दुर्भावनापूर्ण जाभास्क्रिप्ट इन्जेक्सनहरू मार्फत वैध वेबसाइटहरूलाई सम्झौता गर्न सरे। ती इन्जेक्सनहरूले नक्कली क्याप्चा प्रमाणिकरण ओभरलेहरू उत्पादन गर्‍यो जसले फेरि क्लिकफिक्स प्रवाहलाई ट्रिगर गर्‍यो र अन्ततः मालवेयर डाउनलोड र सुरु गर्न पावरशेल आदेश सुरु गर्‍यो। जाभास्क्रिप्ट इन्जेक्ट र सम्बन्धित पूर्वाधार (विशेष गरी intlspring.com) लाई Rhadamanthys Stealer सहित अन्य चोरीकर्ताहरूको वितरणसँग पनि जोडिएको छ।

GitHub दुरुपयोग र बोगस सुरक्षा सूचनाहरू

TA585 अभियानहरूको तेस्रो सेटले GitHub को सूचना मेकानिक्सको दुरुपयोग गर्‍यो: अभिनेताले GitHub प्रयोगकर्ताहरूलाई धोखाधडी 'सुरक्षा' सूचनाहरूमा ट्याग गरे जसमा पीडितहरूलाई अभिनेता-नियन्त्रित साइटहरूमा निर्देशित गर्ने URLहरू थिए। यी नक्कली GitHub अलर्टहरू पीडितहरूलाई उही ClickFix/PowerShell श्रृंखलामा लैजान प्रयोग गरिने अर्को भेक्टर थिए।

CoreSecThree फ्रेमवर्क — डेलिभरी मेरुदण्ड

वेब-इन्जेक्ट र नक्कली-गिटहब गतिविधि क्लस्टरहरू CoreSecThree सँग सम्बन्धित छन्, जुन अनुसन्धानकर्ताहरूले 'परिष्कृत' भनेर चिनाएको फ्रेमवर्क हो र फेब्रुअरी २०२२ देखि प्रयोगमा छ। CoreSecThree लाई धेरै अभियानहरूमा चोरी मालवेयर प्रचार गर्न निरन्तर प्रयोग गरिएको छ।

MonsterV2 — उत्पत्ति र भेरियन्टहरू

MonsterV2 एक बहुउद्देश्यीय खतरा हो: रिमोट एक्सेस ट्रोजन (RAT), स्टिलर, र लोडर। अनुसन्धानकर्ताहरूले पहिलो पटक फेब्रुअरी २०२५ मा आपराधिक फोरमहरूमा यसको विज्ञापन भएको देखे। यसलाई 'Aurotun Stealer' ('autorun' को गलत हिज्जे) को रूपमा पनि उल्लेख गरिएको छ र पहिले CastleLoader (CastleBot को रूपमा पनि चिनिन्छ) मार्फत वितरण गरिएको छ। TA585 गतिविधिको पहिलेको पुनरावृत्तिले २०२५ को सुरुवाती MonsterV2 मा पिभोट हुनु अघि Lumma Stealer लाई वितरण गरेको थियो।

व्यावसायिक मोडेल र जियोफेन्सिङ

MonsterV2 रूसी भाषा बोल्ने अपरेटरद्वारा बेचिन्छ। आपराधिक बजारहरूमा मूल्य निर्धारण गरिएको छ: मानक संस्करण प्रति महिना USD ८०० मा, र इन्टरप्राइज संस्करण प्रति महिना USD २००० मा। इन्टरप्राइज तहमा स्टीलर + लोडर, हिडन VNC (HVNC), र Chrome DevTools प्रोटोकल (CDP) समर्थन समावेश छ। स्टीलर कम्पोनेन्टलाई कमनवेल्थ अफ इन्डिपेन्डेन्ट स्टेट्स (CIS) देशहरूलाई संक्रमित हुनबाट बच्न कन्फिगर गरिएको छ।

प्याकिङ, एन्टी-विश्लेषण, र रनटाइम व्यवहार

MonsterV2 सामान्यतया SonicCrypt नामक C++ क्रिप्टरले भरिएको हुन्छ। SonicCrypt ले पेलोड डिक्रिप्ट र लोड गर्नु अघि स्तरित एन्टी-विश्लेषण जाँचहरू प्रदान गर्दछ, जसले पत्ता लगाउने चोरीलाई सक्षम बनाउँछ। रनटाइममा पेलोड डिक्रिप्ट हुन्छ, आवश्यक पर्ने Windows API प्रकार्यहरू समाधान गर्दछ, र विशेषाधिकार उचाइको प्रयास गर्दछ। त्यसपछि यसले एक एम्बेडेड कन्फिगरेसन डिकोड गर्दछ जसले यसलाई यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) लाई कसरी सम्पर्क गर्ने र के कार्यहरू गर्ने भनेर निर्देशन दिन्छ।

MonsterV2 द्वारा प्रयोग गरिएका कन्फिग फ्ल्यागहरूमा समावेश छन्:

• anti_dbg — जब True हुन्छ, मालवेयरले डिबगरहरू पत्ता लगाउने र बेवास्ता गर्ने प्रयास गर्छ।
• anti_sandbox — जब True हुन्छ, मालवेयरले स्यान्डबक्स पत्ता लगाउने प्रयास गर्छ र प्राथमिक एन्टी-स्यान्डबक्स प्रविधिहरू प्रयोग गर्छ।
• aurotun — जब True हुन्छ, मालवेयरले दृढता स्थापित गर्ने प्रयास गर्छ (गलत हिज्जे 'Aurotun' नामको स्रोत हो)।
• priviledge_escalation — जब True हुन्छ, मालवेयरले होस्टमा विशेषाधिकारहरू बढाउने प्रयास गर्छ।

नेटवर्किङ र C2 व्यवहार

यदि MonsterV2 सफलतापूर्वक आफ्नो C2 मा पुग्छ भने, यसले पहिले सार्वजनिक सेवा (अनुसन्धानकर्ताहरूले api.ipify.org मा अनुरोधहरू अवलोकन गरे) क्वेरी गरेर आधारभूत प्रणाली टेलिमेट्री र भौगोलिक स्थान पठाउँछ। C2 प्रतिक्रियामा कार्यान्वयन गर्न आदेशहरू समावेश छन्। केही अवलोकन गरिएका अपरेशनहरूमा, MonsterV2-ड्रप गरिएका पेलोडहरूलाई अन्य पेलोडहरू (उदाहरणका लागि, StealC) जस्तै C2 सर्भर प्रयोग गर्न कन्फिगर गरिएको थियो, यद्यपि ती अन्य अभियानहरूलाई प्रत्यक्ष रूपमा TA585 मा श्रेय दिइएको थिएन।

MonsterV2 का दस्तावेजीकृत क्षमताहरू यस प्रकार छन्:

न्यूनीकरण र पत्ता लगाउने मार्गदर्शन

रक्षकहरूले TA585 लाई एक सक्षम, ठाडो रूपमा एकीकृत अपरेटरको रूपमा व्यवहार गर्नुपर्छ जसले सामाजिक इन्जिनियरिङ, साइट सम्झौता, र स्तरित एन्टी-विश्लेषण प्रविधिहरूलाई मिश्रण गर्दछ। पत्ता लगाउने अवसरहरूमा समावेश छन्: वेब-आधारित प्रवाहहरूबाट उत्पन्न हुने शंकास्पद PowerShell/Run संवाद गतिविधिको लागि निगरानी, वैध साइटहरूमा असामान्य JavaScript इंजेक्शनहरू पहिचान गर्ने, व्यवहारिक पत्ता लगाउने माध्यमबाट ज्ञात SonicCrypt-प्याक गरिएका बाइनरीहरू ब्लक गर्ने, र अप्रत्याशित HVNC/रिमोट-नियन्त्रण जडानहरू र फाइल एक्सफिल्ट्रेसन ढाँचाहरूलाई फ्ल्याग गर्ने। असामान्य C2 होस्टहरूमा सञ्चार र सार्वजनिक IP-खोज सेवाहरू (जस्तै, api.ipify.org) मा प्रश्नहरूको लागि निगरानी गर्दा आउटबाउन्ड डेटा स्थानान्तरणको संयोजनमा संक्रमणहरू पनि पत्ता लगाउन सक्छ।

निष्कर्षमा

TA585 ले एक लचिलो खतरा अभिनेतालाई प्रतिनिधित्व गर्दछ जसले वितरण, डेलिभरी, र पेलोड सञ्चालनमा नियन्त्रण राख्छ। फिसिङ, साइट-स्तर जाभास्क्रिप्ट इन्जेक्सन, नक्कली CAPTCHA ओभरले, र व्यावसायिक MonsterV2 पेलोड (SonicCrypt ले भरिएको) संयोजन गरेर, अभिनेताले डेटा चोरी र रिमोट कन्ट्रोलको लागि भरपर्दो, बहु-भेक्टर क्षमता भेला गरेको छ। अभिनेताको परिचालन परिपक्वता र MonsterV2 को मोड्युलर सुविधा सेटलाई ध्यानमा राख्दै, संस्थाहरूले वेब-संचालित कमाण्ड लन्चहरू, PowerShell डाउनलोड-कार्यान्वयन चेनहरू, SonicCrypt-प्याक्ड बाइनरीहरू, र शंकास्पद HVNC वा एक्सफिल्ट्रेसन गतिविधिको पहिचानलाई प्राथमिकता दिनुपर्छ।