Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér MonsterV2

Škodlivý softvér MonsterV2

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti nedávno odhalili doteraz nezdokumentovaného aktéra hrozby, sledovaného ako TA585, ktorý spúšťa sofistikované phishingové a webové injection kampane s cieľom šíriť bežne dostupnú rodinu malvéru známu ako MonsterV2.

TA585 – Operátor, ktorý vlastní celý reťazec zabíjania

TA585 vyniká tým, že zrejme kontroluje celý svoj útočný reťazec od začiatku do konca. Namiesto nákupu distribúcie, prenájmu prístupu od sprostredkovateľov počiatočného prístupu alebo spoliehania sa na služby prenosu tretích strán spravuje TA585 vlastnú infraštruktúru, mechanizmy doručovania a inštalačné nástroje. Analytici opisujú klaster ako sofistikovaný: aktér používa webové injekcie, filtrovanie a kontroly prostredia a viacero techník doručovania, aby maximalizoval úspech a vyhol sa analýze.

Phishing, ClickFix a návnady na tému IRS – príručka sociálneho inžinierstva
Prvé kampane sa spoliehali na klasické phishingové návnady s tematikou amerického daňového úradu (IRS). Ciele dostávali správy, ktoré odkazovali na falošné URL adresy, ktoré otvárali PDF súbory; tieto PDF súbory obsahovali odkaz na webovú stránku, ktorá používala taktiku sociálneho inžinierstva ClickFix. ClickFix oklame obeť, aby spustila príkaz prostredníctvom dialógového okna Spustiť vo Windowse alebo terminálu PowerShell, ktorý potom spustí následný skript PowerShellu na stiahnutie a nasadenie MonsterV2.

Webové injekcie a falošné prekrytia CAPTCHA

V nasledujúcich vlnách, ktoré sa objavili v apríli 2025, sa TA585 presunul k ohrozovaniu legitímnych webových stránok prostredníctvom škodlivých JavaScriptových injekcií. Tieto injekcie vytvorili falošné overovacie prekrytia CAPTCHA, ktoré opäť spustili tok ClickFix a nakoniec spustili príkaz PowerShell na stiahnutie a spustenie malvéru. JavaScriptová injekcia a súvisiaca infraštruktúra (najmä intlspring.com) boli tiež spojené s distribúciou iných stealerov vrátane Rhadamanthys Stealer.

Zneužívanie GitHubu a falošné bezpečnostné oznámenia

Tretia sada kampaní TA585 zneužívala mechanizmy upozornení GitHubu: aktér označoval používateľov GitHubu v podvodných „bezpečnostných“ oznámeniach, ktoré obsahovali URL adresy smerujúce obete na stránky kontrolované aktérom. Tieto falošné upozornenia GitHubu boli ďalším vektorom použitým na nalákanie obetí do rovnakého reťazca ClickFix/PowerShell.

Rámec CoreSecThree – chrbtica doručovania

Klastre aktivít web-inject a falošný GitHub boli spojené s CoreSecThree, frameworkom, ktorý výskumníci charakterizujú ako „sofistikovaný“ a používa sa od februára 2022. CoreSecThree sa konzistentne používa na šírenie stealerového malvéru v rámci viacerých kampaní.

MonsterV2 — Počiatky a varianty

MonsterV2 je viacúčelová hrozba: trójsky kôň pre vzdialený prístup (RAT), zlodej a zavádzač. Výskumníci ho prvýkrát videli v reklame na kriminálnych fórach vo februári 2025. Je tiež označovaný ako „Aurotun Stealer“ (nesprávne napísaná skratka slova „autorun“) a predtým bol distribuovaný prostredníctvom CastleLoader (tiež známeho ako CastleBot). Skoršie iterácie aktivity TA585 distribuovali Lumma Stealer pred prechodom na MonsterV2 začiatkom roka 2025.

Komerčný model a geofencing

MonsterV2 predáva rusky hovoriaci operátor. Ceny na kriminálnych trhoviskách: Standard edícia stojí 800 USD mesačne a Enterprise edícia 2 000 USD mesačne. Enterprise tier zahŕňa stealer + loader, podporu Hidden VNC (HVNC) a Chrome DevTools Protocol (CDP). Komponent stealer je nakonfigurovaný tak, aby sa zabránilo infikovaniu krajín Spoločenstva nezávislých štátov (SNŠ).

Balenie, antianalýza a správanie za behu

MonsterV2 je typicky vybavený kryptovacím programom v jazyku C++ s názvom SonicCrypt. SonicCrypt poskytuje viacvrstvové antianalytické kontroly pred dešifrovaním a načítaním užitočného zaťaženia, čo umožňuje obchádzanie detekcie. Počas behu užitočné zaťaženie dešifruje, vyhodnocuje funkcie rozhrania Windows API, ktoré vyžaduje, a pokúša sa o zvýšenie privilégií. Potom dekóduje vloženú konfiguráciu, ktorá mu dáva pokyny, ako kontaktovať jeho systém Command-and-Control (C2) a aké akcie má vykonať.

Medzi konfiguračné príznaky používané MonsterV2 patria:

  • anti_dbg – ak je hodnota True, malvér sa pokúša detekovať a vyhnúť sa ladiacim programom.
  • anti_sandbox – ak je hodnota True, malvér sa pokúša detekovať sandbox a používa základné techniky anti-sandbox.
  • aurotun – ak je hodnota True, malvér sa pokúša o vytvorenie trvalého stavu (pravdepodobne ide o názov „Aurotun“).
  • priviledge_escalation – ak je hodnota True, malvér sa pokúša zvýšiť privilégiá na hostiteľovi.

Networking a správanie C2

Ak MonsterV2 úspešne dosiahne svoj C2, najprv odošle základnú systémovú telemetriu a geolokáciu dotazom na verejnú službu (výskumníci pozorovali požiadavky na api.ipify.org). Odpoveď C2 obsahuje príkazy, ktoré sa majú vykonať. V niektorých pozorovaných operáciách boli užitočné zaťaženia odovzdané MonsterV2 nakonfigurované na používanie rovnakého servera C2 ako iné užitočné zaťaženia (napríklad StealC), hoci tieto iné kampane neboli priamo pripísané TA585.

Zdokumentované možnosti MonsterV2 sú:

  • Ukradnúť citlivé údaje a preniesť ich na server.
  • Vykonajte ľubovoľné príkazy pomocou cmd.exe alebo PowerShellu.
  • Ukončiť, pozastaviť alebo obnoviť procesy.
  • Nadviazať HVNC pripojenia k infikovanému hostiteľovi.
  • Zachyťte snímky obrazovky pracovnej plochy.
  • Spustite keylogger.
  • Vymenovať, manipulovať, kopírovať a odstraňovať súbory.
  • Vypnite alebo zrúťte systém.
  • Stiahnutie a spustenie ďalších krokov s dátami (pozorované príklady: StealC a Remcos RAT).

Pokyny na zmiernenie a odhalenie

Obrancovia by mali považovať TA585 za schopného, vertikálne integrovaného operátora, ktorý kombinuje sociálne inžinierstvo, kompromitáciu stránok a viacvrstvové techniky antianalýzy. Medzi možnosti detekcie patrí: monitorovanie podozrivej aktivity dialógových okien PowerShell/Run pochádzajúcej z webových tokov, identifikácia anomálnych injekcií JavaScriptu na legitímnych stránkach, blokovanie známych binárnych súborov zabalených v SonicCrypt prostredníctvom behaviorálnych detekcií a označovanie neočakávaných pripojení HVNC/vzdialeného ovládania a vzorcov exfiltrácie súborov. Monitorovanie komunikácie s nezvyčajnými hostiteľmi C2 a dotazy na verejné služby zisťovania IP adries (napr. api.ipify.org) v spojení s odchádzajúcimi prenosmi údajov môžu tiež odhaliť infekcie.

Zhrnutie

TA585 predstavuje odolného aktéra hrozby, ktorý si zachováva kontrolu nad distribúciou, doručovaním a prevádzkou s dátami. Kombináciou phishingu, vkladania JavaScriptu na úrovni stránok, falošných prekrytí CAPTCHA a komerčného dáta MonsterV2 (s balíkom SonicCrypt) zostavil aktér spoľahlivú, viacvektorovú schopnosť krádeže dát a diaľkového ovládania. Vzhľadom na operačnú vyspelosť aktéra a modulárnu sadu funkcií MonsterV2 by organizácie mali uprednostniť detekciu spustenia príkazov z webu, reťazcov sťahovania a vykonávania PowerShellu, binárnych súborov zabalených v SonicCrypt a podozrivej aktivity HVNC alebo exfiltrácie.

Trendy

Najviac videné

Načítava...