Threat Database Malware MontysThree

MontysThree

MontysThree is de naam die door malware-experts is gegeven aan een bedreigende toolset die is geschreven in C ++ en bestaat uit verschillende modules. De naam is afgeleid van de aanduiding 'MT3' die door de criminele makers aan de toolset is gegeven. De toolset werd gebruikt als onderdeel van een zeer gerichte aanvalscampagne. Volgens de onderzoekers is de dreigingsacteur achter de aanval een nieuw ontdekt hackercollectief, aangezien geen van de malwaretools noch de tactieken, technieken en procedures (TTP's) kunnen worden vergeleken met die welke worden toegeschreven aan de reeds bekende Advanced Persistent Threat (APT). acteurs. Een bijzonder aspect van de operaties van dit nieuwe hackercollectief is dat het betrokken is bij gerichte bedrijfsspionage en niet de gebruikelijke activiteiten van door de staat gesponsorde APT's, die zich meer richten op telecommunicatiebedrijven, diplomaten of overheidsinstanties.

Er is voldoende bewijs dat MontysThree is ontworpen voor bedrijfsspionage tegen bedrijven in Rusland, of in ieder geval in Russisch sprekende landen. De infosec-onderzoekers ontdekten dat meerdere modules tekstreeksen in het Russisch bevatten of zoeken naar mappen die alleen bestaan op Cyrillisch gelokaliseerde Windows-systemen. De hackers hebben mogelijk geprobeerd potentiële onderzoekers te misleiden door in de communicatie van MontysThree e-mailaccounts te implementeren die doen alsof ze van Chinese afkomst zijn.

MontysThree is uitgerust met aangepaste steganografie en een complex coderingsschema

De toolset vertoont talloze unieke kenmerken waardoor het een vrij zeldzame bedreiging is tussen de andere bedreigende tools die er zijn. Ten eerste bestaat het uit verschillende modules, elk verantwoordelijk voor specifieke taken:

  • Loader Module - Beheert de extractie van de met steganografie versleutelde gegevens uit de bitmapafbeelding die deze bevat. Het ontsleutelde resultaat wordt op de schijf geplaatst als een bestand met de naam 'msgslang32.dll'.
  • Kernelmodule - Bevat RSA- en 3DES-coderingssleutels die worden gebruikt voor het decoderen van de configuratie en tijdens communicatie met de Command-and-Control-infrastructuur (C2, C&C). Het voert ook de gegevensverzameling uit door bepaalde systeemdetails te verkrijgen, zoals de OS-versie, de proceslijst en het vastleggen van schermafbeeldingen. Het verkrijgt ook een lijst met de meest recente documenten van de beoogde gebruiker uit recente documentmappen in% USERPROFILE% en% APPDATA%. Een specifieke map die is aangevinkt is% APPDATA% \ Microsoft \ Office \ Последние файлы.
  • HttpTransport-module - Bevindt zich in de kernelmobiel en de HttpTransport-module is belast met de exfiltratie van de verzamelde informatie. Het kan gegevens downloaden of uploaden via de RDP-, Citrix-, WebDAV- en HTTP-protocollen. Opgemerkt moet worden dat de protocollen niet worden geïmplementeerd als onderdeel van de module en dat in plaats daarvan legitieme Windows-programma's worden misbruikt - Internet Explorer-, RDP- en Citrix-clients. De module kan ook gegevens downloaden van openbare cloudservices zoals Google en Dropbox via gebruikerstokens.
  • LinkUpdate - Verantwoordelijk voor het bereiken van persistentie op de gecompromitteerde machine door ' .lnk' -bestanden te wijzigen in het Windows Quick Launch-paneel.

MontyThree verspreidt zich via phishing-aanvallen

De modulaire MontyThree toolset wordt geleverd in zelfuitpakkende RAR-archieven. De namen van deze vergiftigde archieven zijn bedoeld om de aandacht van Russisch sprekende gebruikers te trekken. De hackers gebruiken variaties op 'update van bedrijfsinformatie' of 'resultaten van medische analyse'. Het ene bestand heette 'Список телефонов сотрудников 2019.doc' (telefoonlijst voor werknemers), terwijl andere gewoon 'Tech task.pdf' of 'invitro-106650152-1.pdf' waren (Invitro is de naam van een Russisch medisch laboratorium).

Trending

Meest bekeken

Bezig met laden...