MonsterV2-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)

Översätt till:

Cybersäkerhetsforskare har nyligen avslöjat en tidigare odokumenterad hotaktör, spårad som TA585, som har kört sofistikerade nätfiske- och webbinjektionskampanjer för att leverera en standardfamilj av skadlig kod känd som MonsterV2.

Innehållsförteckning

TA585 — En operatör som äger hela killkedjan

TA585 sticker ut eftersom det verkar kontrollera hela sin attackkedja från början till slut. Istället för att köpa distribution, hyra åtkomst från IAM-mäklare eller förlita sig på tredjepartstrafiktjänster, hanterar TA585 sin egen infrastruktur, leveransmekanik och installationsverktyg. Analytiker beskriver klustret som sofistikerat: aktören använder webbinjektioner, filtrering och miljökontroller, samt flera leveranstekniker för att maximera framgång och undvika analys.

Nätfiske, ClickFix och IRS-tema lockbete – den sociala ingenjörskonstens handbok
Tidiga kampanjer förlitade sig på klassiska nätfiskeförsök med inriktning på den amerikanska skattemyndigheten (IRS). Målen fick meddelanden som pekade på falska webbadresser, vilket öppnade en PDF; den PDF-filen innehöll en länk till en webbsida som använde ClickFix social engineering-taktik. ClickFix lurar ett offer att köra ett kommando via Windows Kör-dialogruta eller en PowerShell-terminal, som sedan kör ett PowerShell-skript för att hämta och driftsätta MonsterV2.

Webbinjektioner och falska CAPTCHA-överlägg

I efterföljande vågor som sågs i april 2025 övergick TA585 till att kompromettera legitima webbplatser via skadliga JavaScript-injektioner. Dessa injektioner producerade falska CAPTCHA-verifieringsöverlagringar som återigen utlöste ClickFix-flödet och slutligen startade ett PowerShell-kommando för att ladda ner och starta skadlig kod. JavaScript-injektionen och relaterad infrastruktur (särskilt intlspring.com) har också kopplats till distribution av andra stöldprogram, inklusive Rhadamanthys Stealer.

GitHub-missbruk och falska säkerhetsmeddelanden

En tredje uppsättning TA585-kampanjer missbrukade GitHubs aviseringsmekanismer: aktören taggade GitHub-användare i bedrägliga "säkerhets"-meddelanden som innehöll webbadresser som hänvisade offer till aktörskontrollerade webbplatser. Dessa falska GitHub-aviseringar var ytterligare en vektor som användes för att driva offer in i samma ClickFix/PowerShell-kedja.

CoreSecThree-ramverket — Leveransryggraden

Aktivitetsklustren web-inject och fake-GitHub har associerats med CoreSecThree, ett ramverk som forskare karakteriserar som "sofistikerat" och har använts sedan februari 2022. CoreSecThree har konsekvent använts för att sprida stöldkod i flera kampanjer.

MonsterV2 — Ursprung och varianter

MonsterV2 är ett mångsidigt hot: en fjärråtkomsttrojan (RAT), stjälare och laddare. Forskare såg det först annonseras på kriminella forum i februari 2025. Det refereras också till som 'Aurotun Stealer' (en felstavning av 'autorun') och har tidigare distribuerats via CastleLoader (även känt som CastleBot). Tidigare versioner av TA585-aktivitet distribuerade Lumma Stealer innan en övergång till MonsterV2 i början av 2025.

Kommersiell modell och geofencing

MonsterV2 säljs av en rysktalande operatör. Priser observerade på kriminella marknadsplatser: Standardutgåvan på 800 USD per månad och Enterprise-utgåvan på 2 000 USD per månad. Enterprise-nivån inkluderar stealer + loader, Hidden VNC (HVNC) och stöd för Chrome DevTools Protocol (CDP). Stealer-komponenten är konfigurerad för att undvika att infektera OSS-länder (Samväldet av oberoende stater).

Packning, antianalys och körtidsbeteende

MonsterV2 är vanligtvis packad med en C++-krypterare som heter SonicCrypt. SonicCrypt tillhandahåller lagerbaserade antianalyskontroller innan nyttolasten dekrypteras och laddas, vilket möjliggör detekteringsundandragande. Vid körning dekrypterar nyttolasten, löser de Windows API-funktioner den kräver och försöker utöka behörigheter. Den avkodar sedan en inbäddad konfiguration som instruerar den hur den ska kontakta sin Command-and-Control (C2) och vilka åtgärder den ska vidta.

Konfigurationsflaggorna som används av MonsterV2 inkluderar:

anti_dbg — när det är sant försöker skadlig kod upptäcka och undvika felsökare.
anti_sandbox — när värdet är True försöker skadlig programvara sandlådedetektering och använder rudimentära anti-sandlådetekniker.
aurotun — när det är sant försöker skadlig kod etablera persistens (felstavningen är källan till namnet 'Aurotun').
priviledge_escalation — när värdet är True försöker skadlig programvara utöka behörigheterna på värden.

Nätverkande och C2-beteende

Om MonsterV2 når sin C2, skickar den först grundläggande systemtelemetri och geolokalisering genom att fråga en publik tjänst (forskare observerade förfrågningar till api.ipify.org). C2-svaret innehåller de kommandon som ska köras. I vissa observerade operationer konfigurerades MonsterV2-släppta nyttolaster för att använda samma C2-server som andra nyttolaster (till exempel StealC), även om dessa andra kampanjer inte direkt tillskrevs TA585.

De dokumenterade funktionerna hos MonsterV2 är:

Stjäla känslig data och exfiltrera den till servern.

Kör godtyckliga kommandon via cmd.exe eller PowerShell.

Avsluta, pausa eller återuppta processer.

Upprätta HVNC-anslutningar till den infekterade värden.

Ta skärmdumpar från skrivbordet.

Kör en keylogger.

Räkna upp, manipulera, kopiera och exfiltrera filer.

Stäng av eller krascha systemet.

Ladda ner och kör nästa-stegs nyttolaster (observerade exempel: StealC och Remcos RAT).

Vägledning för begränsning och upptäckt

Skyddare bör behandla TA585 som en kapabel, vertikalt integrerad operator som kombinerar social ingenjörskonst, webbplatskompromettering och skiktade antianalystekniker. Detekteringsmöjligheter inkluderar: övervakning av misstänkt PowerShell/Run-dialogaktivitet som härrör från webbaserade flöden, identifiering av avvikande JavaScript-injektioner på legitima webbplatser, blockering av kända SonicCrypt-packade binärfiler via beteendedetektering och flaggning av oväntade HVNC-/fjärrkontrollanslutningar och fileveransmönster. Övervakning av kommunikation till ovanliga C2-värdar och frågor till offentliga IP-upptäcktstjänster (t.ex. api.ipify.org) i samband med utgående dataöverföringar kan också avslöja infektioner.

Sammanfattning

TA585 representerar en motståndskraftig hotaktör som behåller kontrollen över distribution, leverans och nyttolastdrift. Genom att kombinera nätfiske, JavaScript-injektion på webbplatsnivå, falska CAPTCHA-överlagringar och den kommersiella MonsterV2-nyttolasten (packad med SonicCrypt) har aktören samlat en pålitlig, multivektorfunktion för datastöld och fjärrstyrning. Med tanke på aktörens operativa mognad och den modulära funktionsuppsättningen hos MonsterV2 bör organisationer prioritera detektering av webdrivna kommandostarter, PowerShell-nedladdnings- och körkedjor, SonicCrypt-packade binärfiler och misstänkt HVNC- eller exfiltreringsaktivitet.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region

MonsterV2-skadlig programvara

TA585 — En operatör som äger hela killkedjan

Webbinjektioner och falska CAPTCHA-överlägg

GitHub-missbruk och falska säkerhetsmeddelanden

CoreSecThree-ramverket — Leveransryggraden

MonsterV2 — Ursprung och varianter

Kommersiell modell och geofencing

Packning, antianalys och körtidsbeteende

Nätverkande och C2-beteende

Vägledning för begränsning och upptäckt

Sammanfattning

skicka kommentar

Trendigt

Conatysystems.com

ApeX-protokollets röstbelöningsbedrägeri

Auggiver.co.in

Mest sedda

Hur du åtgärdar "Skrivardrivrutinen är inte...

Discord sitter fast på gråskärm

Discord visar svart skärm när skärmen delas