Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносное ПО MonsterV2

Вредоносное ПО MonsterV2

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT) году
Перевести на:

Исследователи по кибербезопасности недавно раскрыли ранее не документированную угрозу, известную как TA585, которая проводила сложные кампании по фишингу и веб-инъекциям для распространения готового семейства вредоносных программ, известного как MonsterV2.

TA585 — Оператор, владеющий всей цепочкой убийств

TA585 выделяется тем, что, по всей видимости, контролирует всю цепочку атак от начала до конца. Вместо того, чтобы покупать дистрибутивы, арендовать доступ у брокеров начального доступа или полагаться на сторонние сервисы обработки трафика, TA585 управляет собственной инфраструктурой, механизмами доставки и инструментами установки. Аналитики описывают кластер как сложный: злоумышленник использует веб-инъекции, фильтрацию и проверки окружения, а также различные методы доставки, чтобы максимизировать успех и избежать анализа.

Фишинг, ClickFix и приманки в стиле IRS — учебник по социальной инженерии
Ранние кампании основывались на классических фишинговых приманках, связанных с Налоговой службой США (IRS). Жертвы получали сообщения, указывающие на поддельные URL-адреса, которые открывали PDF-файл; этот PDF-файл содержал ссылку на веб-страницу, использующую тактику социальной инженерии ClickFix. ClickFix обманным путём заставляет жертву выполнить команду через диалоговое окно «Выполнить» Windows или терминал PowerShell, которая затем запускает следующий скрипт PowerShell для извлечения и развертывания MonsterV2.

Веб-инъекции и поддельные наложения CAPTCHA

В последующих волнах, наблюдавшихся в апреле 2025 года, TA585 переключился на взлом легитимных веб-сайтов посредством вредоносных инъекций JavaScript. Эти инъекции создавали поддельные оверлеи CAPTCHA, которые снова запускали процесс ClickFix и в конечном итоге запускали команду PowerShell для загрузки и запуска вредоносного ПО. Инъекция JavaScript и связанная с ней инфраструктура (в частности, intlspring.com) также были связаны с распространением других стиллеров, включая Rhadamanthys Stealer.

Злоупотребления GitHub и поддельные уведомления о безопасности

Третья группа кампаний TA585 использовала механизмы уведомлений GitHub: злоумышленник отмечал пользователей GitHub в мошеннических уведомлениях о «безопасности», содержащих URL-адреса, направляющие жертв на подконтрольные злоумышленнику сайты. Эти поддельные оповещения GitHub стали ещё одним вектором, использовавшимся для вовлечения жертв в ту же цепочку ClickFix/PowerShell.

CoreSecThree Framework — основа доставки

Кластеры активности веб-инъекций и поддельных GitHub были связаны с CoreSecThree — фреймворком, который исследователи характеризуют как «сложный» и который используется с февраля 2022 года. CoreSecThree постоянно использовался для распространения вредоносного ПО для кражи данных в рамках различных кампаний.

MonsterV2 — происхождение и варианты

MonsterV2 — многоцелевая угроза: троян удалённого доступа (RAT), средство для кражи данных и загрузчик. Исследователи впервые увидели его рекламу на криминальных форумах в феврале 2025 года. Он также упоминается как «Aurotun Stealer» (неправильное написание слова «autorun») и ранее распространялся через CastleLoader (также известный как CastleBot). Более ранние версии TA585 распространяли Lumma Stealer до перехода на MonsterV2 в начале 2025 года.

Коммерческая модель и геозонирование

MonsterV2 продаётся русскоязычным оператором. Цены, наблюдаемые на криминальных торговых площадках: версия Standard — 800 долларов США в месяц, версия Enterprise — 2000 долларов США в месяц. Версия Enterprise включает в себя стиллер и загрузчик, поддержку скрытого VNC (HVNC) и протокола Chrome DevTools (CDP). Стиллирующий компонент настроен таким образом, чтобы избежать заражения стран Содружества Независимых Государств (СНГ).

Упаковка, антианализ и поведение во время выполнения

MonsterV2 обычно оснащён криптографом C++ под названием SonicCrypt. SonicCrypt обеспечивает многоуровневую проверку на антианализ перед расшифровкой и загрузкой полезной нагрузки, что позволяет обойти обнаружение. Во время выполнения полезная нагрузка расшифровывается, выполняет необходимые функции Windows API и пытается повысить привилегии. Затем она декодирует встроенную конфигурацию, которая указывает, как связаться с её центром управления и контроля (C2) и какие действия предпринять.

Флаги конфигурации, используемые MonsterV2, включают в себя:

  • anti_dbg — если True, вредоносная программа пытается обнаружить и обойти отладчики.
  • anti_sandbox — если True, вредоносная программа пытается обнаружить песочницу и использует элементарные методы борьбы с песочницей.
  • aurotun — если True, вредоносная программа пытается установить персистентность (ошибочное написание является источником названия «Aurotun»).
  • priviledge_escalation — если True, вредоносная программа пытается повысить привилегии на хосте.

Сетевое взаимодействие и поведение C2

Если MonsterV2 успешно достигает своего C2, он сначала отправляет базовые системные телеметрические данные и геолокационные данные, обращаясь к общедоступному сервису (исследователи наблюдали запросы к api.ipify.org). Ответ C2 содержит команды для выполнения. В некоторых наблюдаемых операциях сбрасываемые MonsterV2 полезные нагрузки были настроены на использование того же сервера C2, что и другие полезные нагрузки (например, StealC), хотя эти другие кампании не были напрямую связаны с TA585.

Документированные возможности MonsterV2:

  • Украсть конфиденциальные данные и перенести их на сервер.
  • Выполнять произвольные команды через cmd.exe или PowerShell.
  • Завершение, приостановка или возобновление процессов.
  • Установить HVNC-соединения с зараженным хостом.
  • Делайте снимки экрана рабочего стола.
  • Запустите кейлоггер.
  • Перечисляйте, обрабатывайте, копируйте и извлекайте файлы.
  • Выключите или выведите из строя систему.
  • Загрузите и выполните полезные нагрузки следующего этапа (наблюдаемые примеры: StealC и Remcos RAT).

Руководство по смягчению последствий и обнаружению

Защитникам следует рассматривать TA585 как эффективный вертикально интегрированный оператор, сочетающий социальную инженерию, взлом сайта и многоуровневые методы антианализа. Возможности обнаружения включают в себя: мониторинг подозрительной активности диалогов PowerShell/Run, исходящей из веб-потоков, выявление аномальных инъекций JavaScript на легитимных сайтах, блокировку известных двоичных файлов, упакованных SonicCrypt, с помощью поведенческих детекторов, а также выявление неожиданных подключений HVNC/удалённого управления и шаблонов эксфильтрации файлов. Мониторинг соединений с необычными командными хостами и запросов к публичным службам обнаружения IP-адресов (например, api.ipify.org) в сочетании с исходящими передачами данных также может выявить случаи заражения.

Краткое содержание

TA585 представляет собой устойчивую атакующую группировку, сохраняющую контроль над распространением, доставкой и использованием полезной нагрузки. Объединяя фишинг, внедрение JavaScript на уровне сайта, поддельные оверлеи CAPTCHA и коммерческую полезную нагрузку MonsterV2 (с SonicCrypt), злоумышленник создал надежный многовекторный инструмент для кражи данных и удаленного управления. Учитывая операционную зрелость злоумышленника и модульный набор функций MonsterV2, организациям следует уделять первоочередное внимание обнаружению запуска команд через веб-интерфейс, цепочек загрузки и выполнения PowerShell, двоичных файлов, упакованных SonicCrypt, а также подозрительной активности HVNC или эксфильтрации.

В тренде

Мошенничество с вознаграждением за голосование по...

Мошеннические сайты
Интернет полон убедительных подделок и тщательно расставленных ловушек. Мошенники регулярно копируют легитимные сайты криптовалют и используют знакомые элементы дизайна, чтобы создать у...

Наиболее просматриваемые

Загрузка...