MonsterV2 ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਇੱਕ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਧਮਕੀ ਐਕਟਰ, ਜਿਸਨੂੰ TA585 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਕਿ MonsterV2 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਆਫ-ਦੀ-ਸ਼ੈਲਫ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਸੂਝਵਾਨ ਫਿਸ਼ਿੰਗ ਅਤੇ ਵੈੱਬ-ਇੰਜੈਕਸ਼ਨ ਮੁਹਿੰਮਾਂ ਚਲਾ ਰਿਹਾ ਹੈ।

TA585 — ਇੱਕ ਆਪਰੇਟਰ ਜੋ ਪੂਰੀ ਕਿਲ ਚੇਨ ਦਾ ਮਾਲਕ ਹੈ

TA585 ਇਸ ਲਈ ਵੱਖਰਾ ਹੈ ਕਿਉਂਕਿ ਇਹ ਆਪਣੀ ਪੂਰੀ ਹਮਲੇ ਦੀ ਲੜੀ ਨੂੰ ਸਿਰੇ ਤੋਂ ਸਿਰੇ ਤੱਕ ਨਿਯੰਤਰਿਤ ਕਰਦਾ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ। ਵੰਡ ਖਰੀਦਣ, ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ ਤੋਂ ਪਹੁੰਚ ਲੀਜ਼ 'ਤੇ ਲੈਣ, ਜਾਂ ਤੀਜੀ-ਧਿਰ ਟ੍ਰੈਫਿਕ ਸੇਵਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, TA585 ਆਪਣੇ ਖੁਦ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਡਿਲੀਵਰੀ ਮਕੈਨਿਕਸ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਟੂਲਿੰਗ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਕ ਕਲੱਸਟਰ ਨੂੰ ਸੂਝਵਾਨ ਦੱਸਦੇ ਹਨ: ਅਦਾਕਾਰ ਸਫਲਤਾ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ ਵੈੱਬ ਇੰਜੈਕਸ਼ਨ, ਫਿਲਟਰਿੰਗ, ਅਤੇ ਵਾਤਾਵਰਣ ਜਾਂਚਾਂ, ਅਤੇ ਕਈ ਡਿਲੀਵਰੀ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਫਿਸ਼ਿੰਗ, ਕਲਿੱਕਫਿਕਸ, ਅਤੇ ਆਈਆਰਐਸ-ਥੀਮ ਵਾਲੇ ਲਾਲਚ - ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਪਲੇਬੁੱਕ
ਸ਼ੁਰੂਆਤੀ ਮੁਹਿੰਮਾਂ ਯੂਐਸ ਇੰਟਰਨਲ ਰੈਵੇਨਿਊ ਸਰਵਿਸ (IRS) ਦੇ ਆਲੇ-ਦੁਆਲੇ ਥੀਮ ਵਾਲੇ ਕਲਾਸਿਕ ਫਿਸ਼ਿੰਗ ਲੁਰਸ 'ਤੇ ਨਿਰਭਰ ਸਨ। ਟਾਰਗੇਟਾਂ ਨੂੰ ਸੁਨੇਹੇ ਮਿਲੇ ਜੋ ਜਾਅਲੀ URL ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਸਨ, ਜਿਸ ਨੇ ਇੱਕ PDF ਖੋਲ੍ਹਿਆ; ਉਸ PDF ਵਿੱਚ ਇੱਕ ਵੈੱਬ ਪੇਜ ਦਾ ਲਿੰਕ ਸੀ ਜਿਸਨੇ ClickFix ਸੋਸ਼ਲ-ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ। ClickFix ਇੱਕ ਪੀੜਤ ਨੂੰ Windows Run ਡਾਇਲਾਗ ਜਾਂ PowerShell ਟਰਮੀਨਲ ਰਾਹੀਂ ਇੱਕ ਕਮਾਂਡ ਚਲਾਉਣ ਲਈ ਚਾਲ ਚਲਾਉਂਦਾ ਹੈ, ਜੋ ਫਿਰ MonsterV2 ਨੂੰ ਖਿੱਚਣ ਅਤੇ ਤੈਨਾਤ ਕਰਨ ਲਈ ਇੱਕ ਫਾਲੋ-ਆਨ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।

ਵੈੱਬ ਟੀਕੇ ਅਤੇ ਨਕਲੀ ਕੈਪਚਾ ਓਵਰਲੇਅ

ਅਪ੍ਰੈਲ 2025 ਵਿੱਚ ਵੇਖੀਆਂ ਗਈਆਂ ਅਗਲੀਆਂ ਲਹਿਰਾਂ ਵਿੱਚ, TA585 ਖਤਰਨਾਕ JavaScript ਇੰਜੈਕਸ਼ਨਾਂ ਰਾਹੀਂ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵੱਲ ਤਬਦੀਲ ਹੋ ਗਿਆ। ਉਨ੍ਹਾਂ ਇੰਜੈਕਸ਼ਨਾਂ ਨੇ ਨਕਲੀ CAPTCHA ਵੈਰੀਫਿਕੇਸ਼ਨ ਓਵਰਲੇਅ ਪੈਦਾ ਕੀਤੇ ਜਿਨ੍ਹਾਂ ਨੇ ਦੁਬਾਰਾ ClickFix ਪ੍ਰਵਾਹ ਨੂੰ ਚਾਲੂ ਕੀਤਾ ਅਤੇ ਅੰਤ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਇੱਕ PowerShell ਕਮਾਂਡ ਲਾਂਚ ਕੀਤੀ। JavaScript ਇੰਜੈਕਟ ਅਤੇ ਸੰਬੰਧਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚਾ (ਖਾਸ ਤੌਰ 'ਤੇ intlspring.com) ਨੂੰ Rhadamanthys Stealer ਸਮੇਤ ਹੋਰ ਚੋਰੀ ਕਰਨ ਵਾਲਿਆਂ ਦੀ ਵੰਡ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ।

GitHub ਦੁਰਵਿਵਹਾਰ ਅਤੇ ਜਾਅਲੀ ਸੁਰੱਖਿਆ ਨੋਟਿਸ

TA585 ਮੁਹਿੰਮਾਂ ਦੇ ਤੀਜੇ ਸੈੱਟ ਨੇ GitHub ਦੇ ਨੋਟੀਫਿਕੇਸ਼ਨ ਮਕੈਨਿਕਸ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ: ਅਦਾਕਾਰ ਨੇ GitHub ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੇ 'ਸੁਰੱਖਿਆ' ਨੋਟਿਸਾਂ ਵਿੱਚ ਟੈਗ ਕੀਤਾ ਜਿਸ ਵਿੱਚ ਪੀੜਤਾਂ ਨੂੰ ਅਦਾਕਾਰ-ਨਿਯੰਤਰਿਤ ਸਾਈਟਾਂ 'ਤੇ ਭੇਜਣ ਵਾਲੇ URL ਸਨ। ਇਹ ਜਾਅਲੀ GitHub ਚੇਤਾਵਨੀਆਂ ਇੱਕ ਹੋਰ ਵੈਕਟਰ ਸਨ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਉਸੇ ClickFix/PowerShell ਚੇਨ ਵਿੱਚ ਧੱਕਣ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਸਨ।

ਕੋਰਸੇਕਥ੍ਰੀ ਫਰੇਮਵਰਕ — ਡਿਲੀਵਰੀ ਦੀ ਰੀੜ੍ਹ ਦੀ ਹੱਡੀ

ਵੈੱਬ-ਇੰਜੈਕਟ ਅਤੇ ਨਕਲੀ-GitHub ਗਤੀਵਿਧੀ ਕਲੱਸਟਰ CoreSecThree ਨਾਲ ਜੁੜੇ ਹੋਏ ਹਨ, ਇੱਕ ਢਾਂਚਾ ਜਿਸਨੂੰ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ 'ਸੂਝਵਾਨ' ਵਜੋਂ ਦਰਸਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਫਰਵਰੀ 2022 ਤੋਂ ਵਰਤੋਂ ਵਿੱਚ ਹੈ। CoreSecThree ਨੂੰ ਕਈ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਦਾ ਪ੍ਰਚਾਰ ਕਰਨ ਲਈ ਲਗਾਤਾਰ ਵਰਤਿਆ ਜਾਂਦਾ ਰਿਹਾ ਹੈ।

MonsterV2 — ਮੂਲ ਅਤੇ ਰੂਪ

MonsterV2 ਇੱਕ ਬਹੁ-ਉਦੇਸ਼ੀ ਖ਼ਤਰਾ ਹੈ: ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT), ਸਟੀਲਰ, ਅਤੇ ਲੋਡਰ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਫਰਵਰੀ 2025 ਵਿੱਚ ਅਪਰਾਧਿਕ ਫੋਰਮਾਂ 'ਤੇ ਇਸਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੰਦੇ ਦੇਖਿਆ। ਇਸਨੂੰ 'ਔਰੋਟਨ ਸਟੀਲਰ' ('ਆਟੋਰਨ' ਦੀ ਗਲਤ ਸਪੈਲਿੰਗ) ਵਜੋਂ ਵੀ ਦਰਸਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਪਹਿਲਾਂ ਇਸਨੂੰ CastleLoader (ਜਿਸਨੂੰ CastleBot ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਰਾਹੀਂ ਵੰਡਿਆ ਜਾ ਚੁੱਕਾ ਹੈ। TA585 ਗਤੀਵਿਧੀ ਦੇ ਪਹਿਲੇ ਦੁਹਰਾਓ ਨੇ 2025 ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੀਵੋਟ ਤੋਂ ਪਹਿਲਾਂ MonsterV2 ਨੂੰ Lumma Stealer ਵੰਡਿਆ ਸੀ।

ਵਪਾਰਕ ਮਾਡਲ ਅਤੇ ਜੀਓਫੈਂਸਿੰਗ

MonsterV2 ਇੱਕ ਰੂਸੀ ਬੋਲਣ ਵਾਲੇ ਆਪਰੇਟਰ ਦੁਆਰਾ ਵੇਚਿਆ ਜਾਂਦਾ ਹੈ। ਅਪਰਾਧਿਕ ਬਾਜ਼ਾਰਾਂ ਵਿੱਚ ਕੀਮਤ ਦੇਖੀ ਗਈ: ਸਟੈਂਡਰਡ ਐਡੀਸ਼ਨ USD 800 ਪ੍ਰਤੀ ਮਹੀਨਾ, ਅਤੇ ਇੱਕ Enterprise ਐਡੀਸ਼ਨ USD 2,000 ਪ੍ਰਤੀ ਮਹੀਨਾ। Enterprise ਟੀਅਰ ਵਿੱਚ ਸਟੀਲਰ + ਲੋਡਰ, ਲੁਕਿਆ ਹੋਇਆ VNC (HVNC), ਅਤੇ Chrome DevTools ਪ੍ਰੋਟੋਕੋਲ (CDP) ਸਹਾਇਤਾ ਸ਼ਾਮਲ ਹੈ। ਸਟੀਲਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਕਾਮਨਵੈਲਥ ਆਫ ਇੰਡੀਪੈਂਡੈਂਟ ਸਟੇਟਸ (CIS) ਦੇਸ਼ਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਹੋਣ ਤੋਂ ਬਚਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਪੈਕਿੰਗ, ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ, ਅਤੇ ਰਨਟਾਈਮ ਵਿਵਹਾਰ

MonsterV2 ਆਮ ਤੌਰ 'ਤੇ SonicCrypt ਨਾਮਕ C++ ਕ੍ਰਿਪਟਰ ਨਾਲ ਭਰਿਆ ਹੁੰਦਾ ਹੈ। SonicCrypt ਪੇਲੋਡ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਲੇਅਰਡ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਜਾਂਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਚੋਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਰਨਟਾਈਮ 'ਤੇ ਪੇਲੋਡ ਡਿਕ੍ਰਿਪਟ ਹੁੰਦਾ ਹੈ, ਇਸਦੇ ਲੋੜੀਂਦੇ Windows API ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਹੱਲ ਕਰਦਾ ਹੈ, ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਉੱਚਾਈ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਰ ਇੱਕ ਏਮਬੈਡਡ ਸੰਰਚਨਾ ਨੂੰ ਡੀਕੋਡ ਕਰਦਾ ਹੈ ਜੋ ਇਸਨੂੰ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ ਕਿ ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਨਾਲ ਕਿਵੇਂ ਸੰਪਰਕ ਕਰਨਾ ਹੈ ਅਤੇ ਕਿਹੜੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਨੀਆਂ ਹਨ।

MonsterV2 ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਸੰਰਚਨਾ ਝੰਡਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• anti_dbg — ਜਦੋਂ True ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਡੀਬੱਗਰਾਂ ਨੂੰ ਖੋਜਣ ਅਤੇ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।
• ਐਂਟੀ_ਸੈਂਡਬਾਕਸ — ਜਦੋਂ ਸੱਚ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਸੈਂਡਬਾਕਸ ਖੋਜ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ ਅਤੇ ਮੁੱਢਲੀਆਂ ਐਂਟੀ-ਸੈਂਡਬਾਕਸ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
• aurotun — ਜਦੋਂ True ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ (ਗਲਤ ਸਪੈਲਿੰਗ 'Aurotun' ਨਾਮ ਦਾ ਸਰੋਤ ਹੈ)।
• priviledge_escalation — ਜਦੋਂ True ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਹੋਸਟ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਉੱਚਾ ਚੁੱਕਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।

ਨੈੱਟਵਰਕਿੰਗ ਅਤੇ C2 ਵਿਵਹਾਰ

ਜੇਕਰ MonsterV2 ਸਫਲਤਾਪੂਰਵਕ ਆਪਣੇ C2 ਤੱਕ ਪਹੁੰਚ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਪਹਿਲਾਂ ਇੱਕ ਜਨਤਕ ਸੇਵਾ (ਖੋਜਕਰਤਾਵਾਂ ਨੇ api.ipify.org 'ਤੇ ਬੇਨਤੀਆਂ ਨੂੰ ਦੇਖਿਆ) ਦੀ ਪੁੱਛਗਿੱਛ ਕਰਕੇ ਬੁਨਿਆਦੀ ਸਿਸਟਮ ਟੈਲੀਮੈਟਰੀ ਅਤੇ ਭੂ-ਸਥਾਨ ਭੇਜਦਾ ਹੈ। C2 ਜਵਾਬ ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਕਮਾਂਡਾਂ ਸ਼ਾਮਲ ਹਨ। ਕੁਝ ਨਿਰੀਖਣ ਕੀਤੇ ਗਏ ਕਾਰਜਾਂ ਵਿੱਚ, MonsterV2-ਡ੍ਰੌਪ ਕੀਤੇ ਪੇਲੋਡਾਂ ਨੂੰ ਦੂਜੇ ਪੇਲੋਡਾਂ (ਉਦਾਹਰਨ ਲਈ, StealC) ਦੇ ਸਮਾਨ C2 ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਹਾਲਾਂਕਿ ਉਹ ਹੋਰ ਮੁਹਿੰਮਾਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ TA585 ਨਾਲ ਸੰਬੰਧਿਤ ਨਹੀਂ ਸਨ।

MonsterV2 ਦੀਆਂ ਦਸਤਾਵੇਜ਼ੀ ਸਮਰੱਥਾਵਾਂ ਹਨ:

ਘਟਾਓ ਅਤੇ ਖੋਜ ਮਾਰਗਦਰਸ਼ਨ

ਡਿਫੈਂਡਰਾਂ ਨੂੰ TA585 ਨੂੰ ਇੱਕ ਸਮਰੱਥ, ਲੰਬਕਾਰੀ ਏਕੀਕ੍ਰਿਤ ਓਪਰੇਟਰ ਵਜੋਂ ਮੰਨਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ, ਸਾਈਟ ਸਮਝੌਤਾ, ਅਤੇ ਲੇਅਰਡ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕਾਂ ਨੂੰ ਮਿਲਾਉਂਦਾ ਹੈ। ਖੋਜ ਦੇ ਮੌਕਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ: ਵੈੱਬ-ਅਧਾਰਿਤ ਪ੍ਰਵਾਹਾਂ ਤੋਂ ਉਤਪੰਨ ਸ਼ੱਕੀ ਪਾਵਰਸ਼ੈਲ/ਰਨ ਡਾਇਲਾਗ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ, ਜਾਇਜ਼ ਸਾਈਟਾਂ 'ਤੇ ਅਸਾਧਾਰਨ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਸ਼ਨਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ, ਵਿਵਹਾਰਕ ਖੋਜਾਂ ਰਾਹੀਂ ਜਾਣੇ ਜਾਂਦੇ SonicCrypt-ਪੈਕਡ ਬਾਈਨਰੀਆਂ ਨੂੰ ਬਲੌਕ ਕਰਨਾ, ਅਤੇ ਅਚਾਨਕ HVNC/ਰਿਮੋਟ-ਕੰਟਰੋਲ ਕਨੈਕਸ਼ਨਾਂ ਅਤੇ ਫਾਈਲ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਪੈਟਰਨਾਂ ਨੂੰ ਫਲੈਗ ਕਰਨਾ। ਆਊਟਬਾਉਂਡ ਡੇਟਾ ਟ੍ਰਾਂਸਫਰ ਦੇ ਨਾਲ ਅਸਾਧਾਰਨ C2 ਹੋਸਟਾਂ ਅਤੇ ਜਨਤਕ IP-ਡਿਸਕਵਰੀ ਸੇਵਾਵਾਂ (ਜਿਵੇਂ ਕਿ, api.ipify.org) ਲਈ ਪੁੱਛਗਿੱਛਾਂ ਲਈ ਸੰਚਾਰਾਂ ਦੀ ਨਿਗਰਾਨੀ ਵੀ ਇਨਫੈਕਸ਼ਨਾਂ ਦਾ ਪਤਾ ਲਗਾ ਸਕਦੀ ਹੈ।

ਸੰਖੇਪ

TA585 ਇੱਕ ਲਚਕੀਲਾ ਖ਼ਤਰਾ ਐਕਟਰ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ ਵੰਡ, ਡਿਲੀਵਰੀ ਅਤੇ ਪੇਲੋਡ ਓਪਰੇਸ਼ਨ 'ਤੇ ਨਿਯੰਤਰਣ ਰੱਖਦਾ ਹੈ। ਫਿਸ਼ਿੰਗ, ਸਾਈਟ-ਪੱਧਰੀ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਸ਼ਨ, ਨਕਲੀ ਕੈਪਚਾ ਓਵਰਲੇਅ, ਅਤੇ ਵਪਾਰਕ MonsterV2 ਪੇਲੋਡ (SonicCrypt ਨਾਲ ਭਰੇ ਹੋਏ) ਨੂੰ ਜੋੜ ਕੇ, ਐਕਟਰ ਨੇ ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਇੱਕ ਭਰੋਸੇਯੋਗ, ਮਲਟੀ-ਵੈਕਟਰ ਸਮਰੱਥਾ ਇਕੱਠੀ ਕੀਤੀ ਹੈ। ਐਕਟਰ ਦੀ ਸੰਚਾਲਨ ਪਰਿਪੱਕਤਾ ਅਤੇ MonsterV2 ਦੇ ਮਾਡਿਊਲਰ ਵਿਸ਼ੇਸ਼ਤਾ ਸੈੱਟ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਸੰਗਠਨਾਂ ਨੂੰ ਵੈੱਬ-ਸੰਚਾਲਿਤ ਕਮਾਂਡ ਲਾਂਚ, PowerShell ਡਾਊਨਲੋਡ-ਐਗਜ਼ੀਕਿਊਟ ਚੇਨ, SonicCrypt-ਪੈਕਡ ਬਾਈਨਰੀ, ਅਤੇ ਸ਼ੱਕੀ HVNC ਜਾਂ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਗਤੀਵਿਧੀ ਦੀ ਖੋਜ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ।