Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Malware MonsterV2

Malware MonsterV2

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Badacze zajmujący się bezpieczeństwem cybernetycznym niedawno ujawnili nieznane dotąd zagrożenie o nazwie TA585, które prowadzi zaawansowane kampanie phishingu i ataków web-injection w celu dostarczania gotowej do użycia rodziny złośliwego oprogramowania znanej jako MonsterV2.

TA585 — Operator, który kontroluje cały łańcuch zabójstw

TA585 wyróżnia się tym, że wydaje się kontrolować cały łańcuch ataków od początku do końca. Zamiast kupować dystrybucję, dzierżawić dostęp od brokerów dostępu początkowego lub polegać na zewnętrznych usługach ruchu, TA585 zarządza własną infrastrukturą, mechanizmami dostarczania i narzędziami instalacyjnymi. Analitycy opisują klaster jako wyrafinowany: aktor wykorzystuje wstrzykiwanie sieciowe, filtrowanie i sprawdzanie środowiska oraz wiele technik dostarczania, aby zmaksymalizować skuteczność i uniknąć analizy.

Phishing, ClickFix i przynęty związane z IRS – podręcznik socjotechniki
Wczesne kampanie opierały się na klasycznych metodach phishingu, nawiązujących do amerykańskiego Urzędu Skarbowego (IRS). Ofiary otrzymywały wiadomości wskazujące na fałszywe adresy URL, które otwierały plik PDF; ten plik PDF zawierał link do strony internetowej wykorzystującej taktykę socjotechniczną ClickFix. ClickFix podstępem nakłania ofiarę do uruchomienia polecenia za pośrednictwem okna dialogowego Uruchom w systemie Windows lub terminala programu PowerShell, który następnie uruchamia skrypt programu PowerShell w celu pobrania i wdrożenia aplikacji MonsterV2.

Wstrzyknięcia internetowe i fałszywe nakładki CAPTCHA

W kolejnych falach ataku, zaobserwowanych w kwietniu 2025 roku, TA585 zaczął atakować legalne witryny za pomocą złośliwych wstrzyknięć JavaScript. Wstrzyknięcia te generowały fałszywe nakładki weryfikacyjne CAPTCHA, które ponownie uruchamiały przepływ ClickFix i ostatecznie uruchamiały polecenie programu PowerShell w celu pobrania i uruchomienia złośliwego oprogramowania. Wstrzyknięcie JavaScript i powiązana z nim infrastruktura (w szczególności intlspring.com) zostały również powiązane z dystrybucją innych programów wykradających, w tym Rhadamanthys Stealer.

Nadużycia w GitHubie i fałszywe powiadomienia o bezpieczeństwie

Trzecia seria kampanii TA585 nadużywała mechanizmu powiadomień GitHub: aktor oznaczał użytkowników GitHub fałszywymi powiadomieniami „bezpieczeństwa”, które zawierały adresy URL kierujące ofiary do stron kontrolowanych przez aktora. Te fałszywe alerty GitHub były kolejnym wektorem wykorzystywanym do wciągania ofiar w ten sam łańcuch ClickFix/PowerShell.

Framework CoreSecThree — szkielet dostaw

Aktywności typu web-inject i fake-GitHub były powiązane z CoreSecThree, frameworkiem określanym przez badaczy jako „zaawansowany” i używanym od lutego 2022 r. CoreSecThree był konsekwentnie używany do rozprzestrzeniania złośliwego oprogramowania typu stealer w wielu kampaniach.

MonsterV2 — Początki i warianty

MonsterV2 to zagrożenie wielofunkcyjne: trojan zdalnego dostępu (RAT), stealer i loader. Badacze po raz pierwszy zobaczyli jego reklamę na forach przestępczych w lutym 2025 roku. Jest on również określany jako „Aurotun Stealer” (błędna pisownia słowa „autorun”) i był wcześniej dystrybuowany za pośrednictwem CastleLoadera (znanego również jako CastleBot). Wcześniejsze iteracje aktywności TA585 dystrybuowały Lumma Stealer, zanim na początku 2025 roku przestawiły się na MonsterV2.

Model komercyjny i geofencing

MonsterV2 jest sprzedawany przez rosyjskojęzycznego operatora. Ceny na platformach przestępczych: edycja Standard kosztuje 800 USD miesięcznie, a edycja Enterprise 2000 USD miesięcznie. Wersja Enterprise obejmuje stealer + loader, Hidden VNC (HVNC) oraz obsługę protokołu Chrome DevTools Protocol (CDP). Komponent stealer jest skonfigurowany tak, aby zapobiegać infekowaniu krajów Wspólnoty Niepodległych Państw (WNP).

Pakowanie, antyanaliza i zachowanie w czasie wykonywania

MonsterV2 jest zazwyczaj wyposażony w program szyfrujący C++ o nazwie SonicCrypt. SonicCrypt zapewnia wielowarstwowe testy anty-analizy przed odszyfrowaniem i załadowaniem ładunku, umożliwiając uniknięcie wykrycia. W czasie wykonywania ładunek odszyfrowuje, rozwiązuje wymagane funkcje API systemu Windows i próbuje podnieść uprawnienia. Następnie dekoduje wbudowaną konfigurację, która instruuje go, jak skontaktować się z centrum dowodzenia (C2) i jakie działania podjąć.

Flagi konfiguracyjne używane przez MonsterV2 obejmują:

  • anti_dbg — jeśli wartość True, złośliwe oprogramowanie próbuje wykryć debuggery i je ominąć.
  • anti_sandbox — jeśli wartość True, złośliwe oprogramowanie podejmuje próbę wykrycia w piaskownicy i używa podstawowych technik anty-sandbox.
  • aurotun — jeśli wartość to True, złośliwe oprogramowanie próbuje nawiązać połączenie (błąd ortograficzny jest źródłem nazwy „Aurotun”).
  • priviledge_escalation — jeśli wartość True, złośliwe oprogramowanie próbuje podnieść uprawnienia na hoście.

Networking i zachowanie C2

Jeśli MonsterV2 pomyślnie dotrze do swojego C2, najpierw wysyła podstawowe dane telemetryczne i geolokalizacyjne systemu, wysyłając zapytanie do usługi publicznej (badacze zaobserwowali żądania do api.ipify.org). Odpowiedź C2 zawiera polecenia do wykonania. W niektórych zaobserwowanych operacjach ładunki pobrane przez MonsterV2 były skonfigurowane do korzystania z tego samego serwera C2, co inne ładunki (na przykład StealC), chociaż te inne kampanie nie były bezpośrednio przypisane do TA585.

Udokumentowane możliwości MonsterV2 to:

  • Kradzież poufnych danych i przesłanie ich na serwer.
  • Wykonuj dowolne polecenia za pomocą cmd.exe lub PowerShell.
  • Zakończ, zawiesz lub wznów procesy.
  • Nawiąż połączenia HVNC z zainfekowanym hostem.
  • Zrób zrzuty ekranu pulpitu.
  • Uruchom keyloggera.
  • Wyliczaj, manipuluj, kopiuj i eksfiltruj pliki.
  • Wyłącz lub zamknij system.
  • Pobierz i wykonaj ładunki następnego etapu (zaobserwowane przykłady: StealC i Remcos RAT).

Wskazówki dotyczące łagodzenia i wykrywania

Obrońcy powinni traktować TA585 jako sprawnego, zintegrowanego pionowo operatora, który łączy socjotechnikę, włamania na strony internetowe i wielowarstwowe techniki anty-analizy. Możliwości detekcji obejmują: monitorowanie podejrzanej aktywności w oknie dialogowym PowerShell/Run pochodzącej z przepływów internetowych, identyfikowanie anomalii w postaci wstrzyknięć JavaScript w legalnych witrynach, blokowanie znanych plików binarnych spakowanych przez SonicCrypt za pomocą detekcji behawioralnych oraz sygnalizowanie nieoczekiwanych połączeń HVNC/zdalnego sterowania i wzorców eksfiltracji plików. Monitorowanie komunikacji z nietypowymi hostami C2 i zapytań do publicznych usług wykrywania adresów IP (np. api.ipify.org) w połączeniu z wychodzącymi transferami danych może również ujawnić infekcje.

Streszczenie

TA585 reprezentuje odpornego aktora zagrożeń, który zachowuje kontrolę nad dystrybucją, dostarczaniem i działaniem ładunku. Łącząc phishing, wstrzykiwanie kodu JavaScript na poziomie witryny, fałszywe nakładki CAPTCHA i komercyjny ładunek MonsterV2 (zawierający SonicCrypt), aktor stworzył niezawodną, wielowektorową funkcjonalność do kradzieży danych i zdalnego sterowania. Biorąc pod uwagę dojrzałość operacyjną aktora i modułowy zestaw funkcji MonsterV2, organizacje powinny priorytetowo traktować wykrywanie uruchomień poleceń sterowanych przez sieć, łańcuchów pobierania i wykonywania programu PowerShell, plików binarnych zapakowanych w SonicCrypt oraz podejrzanej aktywności HVNC lub eksfiltracji.

Popularne

Najczęściej oglądane

Ładowanie...