Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер MonsterV2

Злонамерни софтвер MonsterV2

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Истраживачи сајбер безбедности недавно су открили раније недокументованог актера претње, праћеног као TA585, који је спроводио софистициране фишинг и веб убризгавање кампање како би испоручио породицу злонамерног софтвера познату као MonsterV2.

TA585 — Оператор који поседује цео ланац убијања

TA585 се истиче јер изгледа да контролише цео свој ланац напада од почетка до краја. Уместо куповине дистрибуције, закупа приступа од брокера почетног приступа или ослањања на услуге саобраћаја трећих страна, TA585 управља сопственом инфраструктуром, механизмима испоруке и алатима за инсталацију. Аналитичари описују кластер као софистициран: актер користи веб убризгавања, филтрирање и провере окружења, као и вишеструке технике испоруке како би максимизирао успех и избегао анализу.

Мамци са тематиком фишинга, ClickFix-а и IRS-а — приручник за социјални инжењеринг
Ране кампање су се ослањале на класичне фишинг мамце везане за Пореску управу САД (IRS). Мете су примале поруке које су указивале на лажне URL-ове, који су отварали PDF; тај PDF је садржао везу до веб странице која је користила тактику социјалног инжењеринга ClickFix. ClickFix вара жртву да покрене команду преко Windows дијалога „Покрени“ или PowerShell терминала, који затим извршава PowerShell скрипту за преузимање и инсталирање MonsterV2.

Веб инјекције и лажни CAPTCHA преклапања

У наредним таласима који су се појавили у априлу 2025. године, TA585 је прешао на угрожавање легитимних веб локација путем злонамерних JavaScript инјекција. Те инјекције су произвеле лажне CAPTCHA верификационе преклапања које су поново покренуле ClickFix ток и на крају покренуле PowerShell команду за преузимање и покретање злонамерног софтвера. JavaScript инјекција и повезана инфраструктура (посебно intlspring.com) такође су повезани са дистрибуцијом других крађа кода, укључујући Rhadamanthys Stealer.

Злоупотреба GitHub-а и лажна безбедносна обавештења

Трећи сет кампања TA585 злоупотребљавао је механику обавештавања GitHub-а: актер је означио кориснике GitHub-а у лажним „безбедносним“ обавештењима која су садржала URL-ове који су усмеравали жртве ка сајтовима које контролишу актери. Ова лажна GitHub упозорења била су још један вектор који се користио за усмеравање жртава у исти ланац ClickFix/PowerShell.

CoreSecThree Framework — Окосница испоруке

Кластери активности „web-inject“ и „fake-GitHub“ повезани су са CoreSecThree, оквиром који истраживачи карактеришу као „софистициран“ и који се користи од фебруара 2022. CoreSecThree се константно користи за ширење злонамерног софтвера за крађу података у више кампања.

MonsterV2 — Порекло и варијанте

MonsterV2 је вишенаменска претња: тројански кон за удаљени приступ (RAT), крађа и учитавање програма. Истраживачи су први пут видели његово рекламирање на криминалним форумима у фебруару 2025. године. Такође се помиње као „Aurotun Stealer“ (погрешно написана реч „autorun“) и раније је дистрибуиран путем CastleLoader-а (такође познатог као CastleBot). Раније верзије активности TA585 дистрибуирале су Lumma Stealer пре преласка на MonsterV2 почетком 2025. године.

Комерцијални модел и геофенсинг

MonsterV2 продаје оператер који говори руски. Цене на криминалним тржиштима су: Стандардно издање 800 америчких долара месечно, а Ентерпрајз издање 2.000 америчких долара месечно. Ентерпрајз ниво укључује компоненту за крађу и учитавање, скривени VNC (HVNC) и подршку за Chrome DevTools Protocol (CDP). Компонента за крађу је конфигурисана тако да избегне заразу земаља Заједнице независних држава (ЗНД).

Паковање, анти-анализа и понашање током извршавања

MonsterV2 је обично опремљен C++ криптером под називом SonicCrypt. SonicCrypt пружа слојевите анти-аналитичке провере пре дешифровања и учитавања корисног оптерећења, омогућавајући избегавање откривања. Током извршавања, корисно оптерећење се дешифрује, решава Windows API функције које су му потребне и покушава да повећа привилегије. Затим декодира уграђену конфигурацију која му даје упутства како да контактира свој систем команде и контроле (C2) и које радње да предузме.

Конфигурационе заставице које користи MonsterV2 укључују:

  • anti_dbg — када је вредност True, злонамерни софтвер покушава да детектује и избегне дебагере.
  • anti_sandbox — када је вредност True, злонамерни софтвер покушава да детектује sandbox и користи основне технике anti-sandbox-а.
  • aurotun — када је вредност True, злонамерни софтвер покушава да успостави перзистентност (грешка у писању је извор имена „Aurotun“).
  • priviledge_escalation — када је вредност True, злонамерни софтвер покушава да повећа привилегије на хосту.

Умрежавање и понашање C2

Ако MonsterV2 успешно дође до свог C2, прво шаље основну системску телеметрију и геолокацију упитом јавном сервису (истраживачи су посматрали захтеве упућене api.ipify.org). C2 одговор садржи команде које треба извршити. У неким посматраним операцијама, корисни терет који је MonsterV2 испустио био је конфигурисан да користи исти C2 сервер као и други корисни терет (на пример, StealC), иако те друге кампање нису директно приписане TA585.

Документоване могућности MonsterV2 су:

  • Украдите осетљиве податке и пренесите их на сервер.
  • Извршите произвољне команде путем cmd.exe или PowerShell-а.
  • Прекините, обуставите или наставите процесе.
  • Успоставите HVNC везе са зараженим хостом.
  • Снимајте снимке екрана на радној површини.
  • Покрените кејлогер.
  • Набројте, манипулишите, копирајте и извадите датотеке.
  • Искључите или срушите систем.
  • Преузмите и извршите корисне оптерећења следеће фазе (примери који су посматрани: StealC и Remcos RAT).

Смернице за ублажавање и откривање

Браниоци би требало да третирају TA585 као способног, вертикално интегрисаног оператера који комбинује друштвени инжењеринг, компромитовање сајтова и слојевите технике анти-аналитике. Могућности откривања укључују: праћење сумњивих активности PowerShell/Run дијалога које потичу из веб токова, идентификовање аномалних JavaScript инјекција на легитимним сајтовима, блокирање познатих бинарних датотека упакованих SonicCrypt-ом путем детекције понашања и означавање неочекиваних HVNC/даљинских веза и образаца крађе датотека. Праћење комуникације са необичним C2 хостовима и упити ка јавним IP сервисима за откривање (нпр. api.ipify.org) у вези са одлазним преносима података такође може открити инфекције.

Резиме

TA585 представља отпорног актера претње који задржава контролу над дистрибуцијом, испоруком и радом са корисним теретом. Комбиновањем фишинга, убризгавања JavaScript-а на нивоу сајта, лажних CAPTCHA преклапања и комерцијалног корисног теретa MonsterV2 (упакованог са SonicCrypt-ом), актер је саставио поуздану, вишевекторску могућност за крађу података и даљинско управљање. С обзиром на оперативну зрелост актера и модуларни скуп функција MonsterV2, организације би требало да дају приоритет откривању покретања команди путем веба, ланаца преузимања и извршавања PowerShell-а, бинарних датотека упакованих са SonicCrypt-ом и сумњивих HVNC или активности ексфилтрације.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
33,770
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...