Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware MonsterV2-malware

MonsterV2-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Cybersecurityonderzoekers hebben onlangs een tot nu toe niet gedocumenteerde bedreigingsactor blootgelegd, die bekendstaat als TA585. Deze actor voerde geavanceerde phishing- en webinjectiecampagnes uit om een kant-en-klare malwarefamilie te verspreiden die bekendstaat als MonsterV2.

TA585 — Een operator die de volledige kill-keten beheerst

TA585 onderscheidt zich doordat het de volledige aanvalsketen van begin tot eind lijkt te beheersen. In plaats van distributie te kopen, toegang te leasen van initiële-toegangsbrokers of te vertrouwen op externe verkeersdiensten, beheert TA585 zijn eigen infrastructuur, leveringsmechanismen en installatietools. Analisten omschrijven het cluster als geavanceerd: de actor maakt gebruik van webinjecties, filtering, omgevingscontroles en meerdere leveringstechnieken om het succes te maximaliseren en analyse te vermijden.

Phishing, ClickFix en op de IRS gebaseerde lokmiddelen: het handboek voor social engineering
Vroege campagnes maakten gebruik van klassieke phishing-trucs rond de Amerikaanse belastingdienst (IRS). Doelwitten ontvingen berichten die verwezen naar valse URL's die een pdf openden. Die pdf bevatte een link naar een webpagina die de social-engineering-tactiek ClickFix gebruikte. ClickFix misleidt een slachtoffer om een opdracht uit te voeren via het Windows-dialoogvenster Uitvoeren of een PowerShell-terminal, die vervolgens een PowerShell-script uitvoert om MonsterV2 te laden en te implementeren.

Webinjecties en nep-CAPTCHA-overlays

In de daaropvolgende golven, die in april 2025 werden waargenomen, verschoof TA585 naar het compromitteren van legitieme websites via kwaadaardige JavaScript-injecties. Deze injecties produceerden valse CAPTCHA-verificatieoverlays die opnieuw de ClickFix-flow activeerden en uiteindelijk een PowerShell-opdracht lanceerden om de malware te downloaden en te starten. De JavaScript-injectie en de bijbehorende infrastructuur (met name intlspring.com) zijn ook in verband gebracht met de verspreiding van andere stealers, waaronder Rhadamanthys Stealer.

GitHub-misbruik en valse beveiligingsmeldingen

Een derde reeks TA585-campagnes misbruikte de meldingsmechanismen van GitHub: de dader tagde GitHub-gebruikers in frauduleuze 'beveiligings'-meldingen met URL's die slachtoffers naar door de dader beheerde sites leidden. Deze valse GitHub-meldingen vormden een andere manier om slachtoffers in dezelfde ClickFix/PowerShell-keten te lokken.

CoreSecThree Framework - De leveringsruggengraat

De clusters van webinjecties en nep-GitHub-activiteiten zijn gekoppeld aan CoreSecThree, een framework dat door onderzoekers als 'geavanceerd' wordt omschreven en dat sinds februari 2022 in gebruik is. CoreSecThree wordt consequent gebruikt om stealer-malware te verspreiden via meerdere campagnes.

MonsterV2 — Oorsprong en varianten

MonsterV2 is een multifunctionele bedreiging: een trojan voor externe toegang (RAT), stealer en loader. Onderzoekers zagen het voor het eerst in februari 2025 op criminele fora. Het wordt ook wel 'Aurotun Stealer' genoemd (een spelfout van 'autorun') en werd eerder verspreid via CastleLoader (ook bekend als CastleBot). Eerdere versies van TA585-activiteit verspreidden Lumma Stealer voordat begin 2025 de overstap naar MonsterV2 werd gemaakt.

Commercieel model en geofencing

MonsterV2 wordt verkocht door een Russischtalige aanbieder. Prijzen die op criminele marktplaatsen worden aangetroffen: de Standard-editie kost $ 800 per maand en de Enterprise-editie kost $ 2.000 per maand. De Enterprise-versie biedt ondersteuning voor stealer + loader, Hidden VNC (HVNC) en Chrome DevTools Protocol (CDP). De stealer-component is geconfigureerd om infectie van landen van het Gemenebest van Onafhankelijke Staten (GOS) te voorkomen.

Verpakking, anti-analyse en runtime-gedrag

MonsterV2 wordt doorgaans geleverd met een C++-crypter genaamd SonicCrypt. SonicCrypt biedt gelaagde anti-analysecontroles vóór het decoderen en laden van de payload, waardoor detectie kan worden ontweken. Tijdens runtime decodeert de payload, voert de vereiste Windows API-functies uit en probeert hij privilege-elevatie uit te voeren. Vervolgens decodeert het een embedded configuratie die aangeeft hoe contact moet worden opgenomen met Command-and-Control (C2) en welke acties moeten worden ondernomen.

De config-vlaggen die MonsterV2 gebruikt, zijn onder meer:

  • anti_dbg — wanneer True, probeert de malware debuggers te detecteren en te omzeilen.
  • anti_sandbox — wanneer True, probeert de malware sandbox-detectie en gebruikt daarbij rudimentaire anti-sandbox-technieken.
  • aurotun — wanneer True, probeert de malware persistentie te creëren (de verkeerde spelling is de bron van de naam 'Aurotun').
  • priviledge_escalation — wanneer True, probeert de malware de privileges op de host te verhogen.

Netwerken en C2-gedrag

Als MonsterV2 zijn C2 succesvol bereikt, verstuurt het eerst basissysteemtelemetrie en geolocatie door een openbare dienst te raadplegen (onderzoekers observeerden verzoeken aan api.ipify.org). De C2-respons bevat de uit te voeren opdrachten. In sommige geobserveerde bewerkingen werden de door MonsterV2 gedropte payloads geconfigureerd om dezelfde C2-server te gebruiken als andere payloads (bijvoorbeeld StealC), hoewel die andere campagnes niet rechtstreeks aan TA585 werden toegeschreven.

De gedocumenteerde mogelijkheden van MonsterV2 zijn:

  • Gevoelige gegevens stelen en naar de server exfiltreren.
  • Voer willekeurige opdrachten uit via cmd.exe of PowerShell.
  • Processen beëindigen, opschorten of hervatten.
  • Maak HVNC-verbindingen met de geïnfecteerde host.
  • Maak screenshots van uw bureaublad.
  • Draai een keylogger.
  • Bestanden inventariseren, manipuleren, kopiëren en exfiltreren.
  • Het systeem uitschakelen of laten crashen.
  • Volgende-fase-payloads downloaden en uitvoeren (geobserveerde voorbeelden: StealC en Remcos RAT).

    • Richtlijnen voor mitigatie en detectie

    Verdedigers zouden TA585 moeten beschouwen als een capabele, verticaal geïntegreerde operator die social engineering, sitecompromittering en gelaagde anti-analysetechnieken combineert. Detectiemogelijkheden omvatten: monitoring op verdachte PowerShell/Run-dialoogactiviteit afkomstig van webgebaseerde stromen, het identificeren van afwijkende JavaScript-injecties op legitieme sites, het blokkeren van bekende SonicCrypt-gepakte binaire bestanden via gedragsdetecties en het markeren van onverwachte HVNC/afstandsbedieningsverbindingen en bestandsexfiltratiepatronen. Monitoring op communicatie met ongebruikelijke C2-hosts en query's naar openbare IP-detectieservices (bijv. api.ipify.org) in combinatie met uitgaande gegevensoverdrachten kan ook infecties aan het licht brengen.

    Samenvatting

    TA585 vertegenwoordigt een veerkrachtige bedreigingsactor die de controle behoudt over distributie, levering en payloadbewerking. Door phishing, JavaScript-injectie op siteniveau, nep-CAPTCHA-overlays en de commerciële MonsterV2-payload (gecombineerd met SonicCrypt) te combineren, heeft de actor een betrouwbare multi-vectorcapaciteit voor gegevensdiefstal en controle op afstand gecreëerd. Gezien de operationele volwassenheid van de actor en de modulaire functieset van MonsterV2 zouden organisaties prioriteit moeten geven aan de detectie van webgestuurde opdrachtlanceringen, PowerShell download-execute chains, SonicCrypt-gecombineerde binaire bestanden en verdachte HVNC- of exfiltratieactiviteiten.

    Trending

    Meest bekeken

    Bezig met laden...