Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware MonsterV2 Malware

MonsterV2 Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar së fundmi një aktor kërcënimi të padokumentuar më parë, të gjurmuar si TA585, i cili ka drejtuar fushata të sofistikuara phishing dhe injeksioni në internet për të ofruar një familje programesh keqdashëse të gatshme të njohur si MonsterV2.

TA585 — Një operator që zotëron zinxhirin e plotë të vrasjeve

TA585 dallohet sepse duket se kontrollon të gjithë zinxhirin e sulmit nga fillimi në fund. Në vend që të blejë shpërndarje, të japë me qira akses nga ndërmjetësit e aksesit fillestar ose të mbështetet në shërbimet e trafikut të palëve të treta, TA585 menaxhon infrastrukturën e vet, mekanikën e shpërndarjes dhe mjetet e instalimit. Analistët e përshkruajnë klasterin si të sofistikuar: aktori përdor injeksione në internet, filtrim dhe kontrolle mjedisore, si dhe teknika të shumëfishta shpërndarjeje për të maksimizuar suksesin dhe për të shmangur analizën.

Phishing, ClickFix dhe karrem me temë IRS — manuali i inxhinierisë sociale
Fushatat e hershme mbështeteshin në karremët klasikë të phishing-ut me temë Shërbimin e të Ardhurave të Brendshme të SHBA-së (IRS). Shënjestrat merrnin mesazhe që tregonin URL të rreme, të cilat hapnin një PDF; ai PDF përmbante një lidhje për një faqe interneti që përdorte taktikën e inxhinierisë sociale ClickFix. ClickFix e mashtron një viktimë që të ekzekutojë një komandë nëpërmjet dialogut Run të Windows ose një terminali PowerShell, i cili më pas ekzekuton një skript pasues PowerShell për të tërhequr dhe vendosur MonsterV2.

Injeksione në internet dhe mbivendosje të rreme të CAPTCHA-s

Në valët pasuese të prillit 2025, TA585 u zhvendos në kompromentimin e faqeve të internetit legjitime nëpërmjet injeksioneve keqdashëse JavaScript. Këto injeksione prodhuan mbivendosje të rreme verifikimi CAPTCHA që shkaktuan përsëri rrjedhën ClickFix dhe në fund nisën një komandë PowerShell për të shkarkuar dhe nisur malware-in. Injektimi JavaScript dhe infrastruktura përkatëse (veçanërisht intlspring.com) janë lidhur gjithashtu me shpërndarjen e vjedhësve të tjerë, duke përfshirë Rhadamanthys Stealer.

Abuzimi i GitHub dhe Njoftimet e Rreme të Sigurisë

Një grup i tretë fushatash TA585 abuzuan me mekanizmat e njoftimeve të GitHub: aktori i etiketoi përdoruesit e GitHub në njoftime mashtruese 'sigurie' që përmbanin URL që i drejtonin viktimat në faqet e kontrolluara nga aktorët. Këto alarme të rreme të GitHub ishin një vektor tjetër i përdorur për t'i çuar viktimat në të njëjtin zinxhir ClickFix/PowerShell.

Korniza CoreSecThree — Shtylla kurrizore e ofrimit të shërbimeve

Grumbujt e aktivitetit web‑injection dhe fake‑GitHub janë shoqëruar me CoreSecThree, një strukturë e karakterizuar nga studiuesit si 'e sofistikuar' dhe në përdorim që nga shkurti i vitit 2022. CoreSecThree është përdorur vazhdimisht për të përhapur malware vjedhës nëpër fushata të shumta.

MonsterV2 — Origjina dhe Variantet

MonsterV2 është një kërcënim shumëqëllimor: një trojan me akses në distancë (RAT), vjedhës dhe ngarkues. Studiuesit e panë për herë të parë duke u reklamuar në forume kriminale në shkurt të vitit 2025. Ai përmendet gjithashtu si 'Aurotun Stealer' (një gabim drejtshkrimi i 'autorun') dhe është shpërndarë më parë nëpërmjet CastleLoader (i njohur edhe si CastleBot). Versionet e mëparshme të aktivitetit TA585 shpërndanë Lumma Stealer përpara një ndryshimi në fillim të vitit 2025 në MonsterV2.

Model Komercial dhe Gjeofencing

MonsterV2 shitet nga një operator rusishtfolës. Çmimet e vërejtura në tregjet kriminale: edicioni Standard është 800 dollarë amerikanë në muaj dhe një edicion Enterprise është 2,000 dollarë amerikanë në muaj. Niveli Enterprise përfshin stealer + loader, Hidden VNC (HVNC) dhe mbështetje për Chrome DevTools Protocol (CDP). Komponenti stealer është konfiguruar për të shmangur infektimin e vendeve të Komonuelthit të Shteteve të Pavarura (CIS).

Paketimi, Anti-analiza dhe Sjellja e Runtime-it

MonsterV2 zakonisht është i pajisur me një kripter C++ të quajtur SonicCrypt. SonicCrypt ofron kontrolle anti-analizë të shtresuara para deshifrimit dhe ngarkimit të ngarkesës, duke mundësuar shmangien e zbulimit. Gjatë kohës së ekzekutimit, ngarkesa deshifron, zgjidh funksionet e API-t të Windows që kërkon dhe përpiqet të ngrejë privilegjet. Pastaj deshifron një konfigurim të integruar i cili e udhëzon atë se si të kontaktojë Komandën dhe Kontrollin (C2) e tij dhe çfarë veprimesh duhet të ndërmarrë.

Flamujt e konfigurimit të përdorur nga MonsterV2 përfshijnë:

  • anti_dbg — kur është e vërtetë, programi keqdashës përpiqet të zbulojë dhe t'i shmanget debuggers-ave.
  • anti_sandbox — kur është e vërtetë, programi keqdashës përpiqet të zbulojë sandbox-in dhe përdor teknika rudimentare anti-sandbox.
  • aurotun — kur është True, programi keqdashës përpiqet të krijojë qëndrueshmëri (gabimi drejtshkrimor është burimi i emrit 'Aurotun').
  • priviledge_escalation — kur është e vërtetë, programi keqdashës përpiqet të rrisë privilegjet në host.

Rrjetëzimi dhe Sjellja C2

Nëse MonsterV2 arrin me sukses C2-shin e tij, ai së pari dërgon telemetrinë bazë të sistemit dhe gjeolokacionin duke pyetur një shërbim publik (kërkuesit vëzhguan kërkesa për api.ipify.org). Përgjigja C2 përmban komandat që duhen ekzekutuar. Në disa operacione të vëzhguara, ngarkesat e lëshuara nga MonsterV2 u konfiguruan për të përdorur të njëjtin server C2 si ngarkesat e tjera (për shembull, StealC), megjithëse ato fushata të tjera nuk i atribuoheshin drejtpërdrejt TA585.

Aftësitë e dokumentuara të MonsterV2 janë:

  • Vjedhni të dhëna të ndjeshme dhe ekstradoni ato në server.
  • Ekzekutoni komanda arbitrare nëpërmjet cmd.exe ose PowerShell.
  • Ndërpritni, pezulloni ose rifilloni proceset.
  • Vendosni lidhje HVNC me hostin e infektuar.
  • Kap pamje të ekranit të desktopit.
  • Ekzekutoni një regjistrues çelësash.
  • Numëroni, manipuloni, kopjoni dhe nxirrni skedarët.
  • Mbyll ose rrëzo sistemin.
  • Shkarkoni dhe ekzekutoni ngarkesat e fazës tjetër (shembuj të vërejtur: StealC dhe Remcos RAT).

Udhëzime për Zbutjen dhe Zbulimin

Mbrojtësit duhet ta trajtojnë TA585 si një operator të aftë dhe të integruar vertikalisht që përzien inxhinierinë sociale, kompromentimin e faqes dhe teknikat e shtresuara anti-analizë. Mundësitë e zbulimit përfshijnë: monitorimin për aktivitetin e dyshimtë të dialogut PowerShell/Run që buron nga rrjedhat e bazuara në internet, identifikimin e injeksioneve anormale të JavaScript në faqe legjitime, bllokimin e skedarëve binare të njohur të paketuar me SonicCrypt përmes zbulimeve të sjelljes dhe sinjalizimin e lidhjeve të papritura HVNC/telekomandë dhe modeleve të nxjerrjes së skedarëve. Monitorimi për komunikimet me hostet e pazakonta C2 dhe pyetjet në shërbimet publike të zbulimit të IP (p.sh., api.ipify.org) në lidhje me transferimet e të dhënave dalëse mund të zbulojë gjithashtu infeksione.

Përmbledhje

TA585 përfaqëson një aktor kërcënimi elastik që ruan kontrollin mbi shpërndarjen, dorëzimin dhe funksionimin e ngarkesës. Duke kombinuar phishing-un, injektimin JavaScript në nivel faqjeje, mbivendosjet e rreme CAPTCHA dhe ngarkesën komerciale MonsterV2 (të pajisur me SonicCrypt), aktori ka mbledhur një aftësi të besueshme, shumëvektoriale për vjedhjen e të dhënave dhe kontrollin në distancë. Duke pasur parasysh pjekurinë operacionale të aktorit dhe grupin modular të veçorive të MonsterV2, organizatat duhet të përparësojnë zbulimin e nisjeve të komandave të drejtuara nga uebi, zinxhirët e shkarkimit-ekzekutimit të PowerShell, skedarët binare të paketuar me SonicCrypt dhe aktivitetin e dyshimtë HVNC ose të nxjerrjes.

Në trend

Më e shikuara

Po ngarkohet...