MonsterV2 மால்வேர்
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் சமீபத்தில் TA585 என கண்காணிக்கப்பட்ட முன்னர் ஆவணப்படுத்தப்படாத அச்சுறுத்தல் நபரை அம்பலப்படுத்தியுள்ளனர், அவர் MonsterV2 எனப்படும் ஒரு ஆஃப்-தி-ஷெல்ஃப் மால்வேர் குடும்பத்தை வழங்க அதிநவீன ஃபிஷிங் மற்றும் வலை-ஊசி பிரச்சாரங்களை நடத்தி வருகிறார்.
பொருளடக்கம்
TA585 — முழு கொலைச் சங்கிலியையும் வைத்திருக்கும் ஒரு ஆபரேட்டர்
TA585 அதன் முழு தாக்குதல் சங்கிலியையும் முழுமையாகக் கட்டுப்படுத்துவதால் தனித்து நிற்கிறது. விநியோகத்தை வாங்குவதற்குப் பதிலாக, ஆரம்ப அணுகல் தரகர்களிடமிருந்து அணுகலை குத்தகைக்கு எடுப்பதற்குப் பதிலாக அல்லது மூன்றாம் தரப்பு போக்குவரத்து சேவைகளை நம்புவதற்குப் பதிலாக, TA585 அதன் சொந்த உள்கட்டமைப்பு, விநியோக இயக்கவியல் மற்றும் நிறுவல் கருவிகளை நிர்வகிக்கிறது. ஆய்வாளர்கள் கிளஸ்டரை அதிநவீனமானது என்று விவரிக்கிறார்கள்: நடிகர் வலை ஊசிகள், வடிகட்டுதல் மற்றும் சுற்றுச்சூழல் சோதனைகள் மற்றும் பல விநியோக நுட்பங்களைப் பயன்படுத்தி வெற்றியை அதிகரிக்கவும் பகுப்பாய்வைத் தவிர்க்கவும் பயன்படுத்துகிறார்.
ஃபிஷிங், கிளிக்ஃபிக்ஸ் மற்றும் ஐஆர்எஸ் கருப்பொருள் கவர்ச்சிகள் - சமூக பொறியியல் விளையாட்டு புத்தகம்
ஆரம்பகால பிரச்சாரங்கள் அமெரிக்க உள்நாட்டு வருவாய் சேவை (IRS) கருப்பொருளாகக் கொண்ட கிளாசிக் ஃபிஷிங் கவர்ச்சிகளை நம்பியிருந்தன. இலக்குகள் போலி URLகளை சுட்டிக்காட்டும் செய்திகளைப் பெற்றன, அவை ஒரு PDF ஐத் திறந்தன; அந்த PDF இல் ClickFix சமூக பொறியியல் தந்திரோபாயத்தைப் பயன்படுத்தும் ஒரு வலைப்பக்கத்திற்கான இணைப்பு இருந்தது. ClickFix பாதிக்கப்பட்டவரை Windows Run உரையாடல் அல்லது PowerShell முனையம் வழியாக ஒரு கட்டளையை இயக்க ஏமாற்றுகிறது, பின்னர் அது MonsterV2 ஐ இழுத்து பயன்படுத்த PowerShell ஸ்கிரிப்டை செயல்படுத்துகிறது.
வலை ஊசிகள் மற்றும் போலி CAPTCHA மேலடுக்குகள்
ஏப்ரல் 2025 இல் காணப்பட்ட அடுத்தடுத்த அலைகளில், TA585 தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் ஊசிகள் மூலம் முறையான வலைத்தளங்களை சமரசம் செய்வதற்கு மாறியது. அந்த ஊசிகள் போலியான CAPTCHA சரிபார்ப்பு மேலடுக்குகளை உருவாக்கியது, அவை மீண்டும் ClickFix ஓட்டத்தைத் தூண்டின, இறுதியில் தீம்பொருளைப் பதிவிறக்கித் தொடங்க பவர்ஷெல் கட்டளையைத் தொடங்கின. ஜாவாஸ்கிரிப்ட் ஊசி மற்றும் தொடர்புடைய உள்கட்டமைப்பு (குறிப்பாக intlspring.com) Rhadamanthys Stealer உள்ளிட்ட பிற திருடர்களின் விநியோகத்துடனும் இணைக்கப்பட்டுள்ளன.
GitHub துஷ்பிரயோகம் மற்றும் போலி பாதுகாப்பு அறிவிப்புகள்
TA585 பிரச்சாரங்களின் மூன்றாவது தொகுப்பு GitHub இன் அறிவிப்பு இயக்கவியலை துஷ்பிரயோகம் செய்தது: நடிகர் GitHub பயனர்களை மோசடியான 'பாதுகாப்பு' அறிவிப்புகளில் டேக் செய்தார், அதில் பாதிக்கப்பட்டவர்களை நடிகர் கட்டுப்படுத்தும் தளங்களுக்கு வழிநடத்தும் URLகள் இருந்தன. இந்த போலி GitHub எச்சரிக்கைகள் பாதிக்கப்பட்டவர்களை அதே ClickFix/PowerShell சங்கிலிக்குள் தள்ளப் பயன்படுத்தப்படும் மற்றொரு திசையன் ஆகும்.
CoreSecThree கட்டமைப்பு — டெலிவரி முதுகெலும்பு
வலை-ஊசி மற்றும் போலி-கிட்ஹப் செயல்பாட்டுக் கொத்துகள், கோர்செக்த்ரீ உடன் தொடர்புடையவை, இது ஆராய்ச்சியாளர்களால் 'அதிநவீன' கட்டமைப்பாக வகைப்படுத்தப்பட்டு பிப்ரவரி 2022 முதல் பயன்பாட்டில் உள்ளது. பல பிரச்சாரங்களில் திருடர் தீம்பொருளைப் பரப்புவதற்கு கோர்செக்த்ரீ தொடர்ந்து பயன்படுத்தப்படுகிறது.
MonsterV2 — தோற்றம் மற்றும் மாறுபாடுகள்
MonsterV2 என்பது ஒரு பல்நோக்கு அச்சுறுத்தல்: ஒரு தொலைதூர அணுகல் ட்ரோஜன் (RAT), ஸ்டீலர் மற்றும் லோடர். ஆராய்ச்சியாளர்கள் முதன்முதலில் இது பிப்ரவரி 2025 இல் குற்றவியல் மன்றங்களில் விளம்பரப்படுத்தப்படுவதைக் கண்டனர். இது 'Aurotun Stealer' ('autorun' இன் எழுத்துப்பிழை) என்றும் குறிப்பிடப்படுகிறது மற்றும் முன்னர் CastleLoader (CastleBot என்றும் அழைக்கப்படுகிறது) வழியாக விநியோகிக்கப்பட்டது. TA585 செயல்பாட்டின் முந்தைய மறு செய்கைகள் 2025 ஆம் ஆண்டின் தொடக்கத்தில் MonsterV2 க்கு முன் Lumma Stealer ஐ விநியோகித்தன.
வணிக மாதிரி மற்றும் ஜியோஃபென்சிங்
MonsterV2 ரஷ்ய மொழி பேசும் ஆபரேட்டரால் விற்கப்படுகிறது. குற்றவியல் சந்தைகளில் விலை நிர்ணயம் செய்யப்படுகிறது: நிலையான பதிப்பு மாதத்திற்கு USD 800, மற்றும் Enterprise பதிப்பு மாதத்திற்கு USD 2,000. Enterprise அடுக்கில் ஸ்டீலர் + லோடர், மறைக்கப்பட்ட VNC (HVNC) மற்றும் Chrome DevTools புரோட்டோகால் (CDP) ஆதரவு ஆகியவை அடங்கும். ஸ்டீலர் கூறு காமன்வெல்த் சுதந்திர நாடுகள் (CIS) நாடுகளைப் பாதிக்காமல் இருக்க கட்டமைக்கப்பட்டுள்ளது.
பேக்கிங், எதிர்ப்பு பகுப்பாய்வு மற்றும் இயக்க நேர நடத்தை
MonsterV2 பொதுவாக SonicCrypt என்ற C++ கிரிப்டருடன் நிரம்பியுள்ளது. SonicCrypt, பேலோடை டிக்ரிப்ட் செய்து ஏற்றுவதற்கு முன், அடுக்கு பகுப்பாய்வு எதிர்ப்பு சோதனைகளை வழங்குகிறது, இது கண்டறிதல் ஏய்ப்பை செயல்படுத்துகிறது. இயக்க நேரத்தில் பேலோடு டிக்ரிப்ட் செய்கிறது, அதற்குத் தேவையான Windows API செயல்பாடுகளைத் தீர்க்கிறது மற்றும் சலுகை உயர்வை முயற்சிக்கிறது. பின்னர் அது ஒரு உட்பொதிக்கப்பட்ட உள்ளமைவை டிகோட் செய்கிறது, இது அதன் கட்டளை மற்றும் கட்டுப்பாட்டை (C2) எவ்வாறு தொடர்பு கொள்வது மற்றும் என்ன நடவடிக்கைகள் எடுக்க வேண்டும் என்பதை அறிவுறுத்துகிறது.
MonsterV2 பயன்படுத்தும் config கொடிகள் பின்வருமாறு:
- anti_dbg — True எனில், தீம்பொருள் பிழைத்திருத்திகளைக் கண்டறிந்து தவிர்க்க முயற்சிக்கிறது.
- anti_sandbox — True எனில், தீம்பொருள் சாண்ட்பாக்ஸ் கண்டறிதலை முயற்சித்து, அடிப்படையான சாண்ட்பாக்ஸ் எதிர்ப்பு நுட்பங்களைப் பயன்படுத்துகிறது.
- aurotun — True எனில், தீம்பொருள் நிலைத்தன்மையை நிலைநாட்ட முயற்சிக்கிறது (எழுத்துப்பிழையே 'Aurotun' பெயரின் மூலமாகும்).
- priviledge_escalation — True எனில், தீம்பொருள் ஹோஸ்டின் சிறப்புரிமைகளை உயர்த்த முயற்சிக்கிறது.
நெட்வொர்க்கிங் மற்றும் C2 நடத்தை
MonsterV2 அதன் C2 ஐ வெற்றிகரமாக அடைந்தால், அது முதலில் ஒரு பொது சேவையை வினவுவதன் மூலம் அடிப்படை அமைப்பு டெலிமெட்ரி மற்றும் புவிஇருப்பிடத்தை அனுப்புகிறது (ஆராய்ச்சியாளர்கள் api.ipify.org க்கான கோரிக்கைகளைக் கவனித்தனர்). C2 பதிலில் செயல்படுத்த வேண்டிய கட்டளைகள் உள்ளன. சில கவனிக்கப்பட்ட செயல்பாடுகளில், MonsterV2 கைவிடப்பட்ட பேலோடுகள் மற்ற பேலோடுகளைப் போலவே அதே C2 சேவையகத்தைப் பயன்படுத்த உள்ளமைக்கப்பட்டன (எடுத்துக்காட்டாக, StealthC), இருப்பினும் அந்த மற்ற பிரச்சாரங்கள் TA585 க்கு நேரடியாகக் காரணம் கூறப்படவில்லை.
MonsterV2 இன் ஆவணப்படுத்தப்பட்ட திறன்கள்:
தணிப்பு மற்றும் கண்டறிதல் வழிகாட்டுதல்
சமூக பொறியியல், தள சமரசம் மற்றும் அடுக்கு பகுப்பாய்வு எதிர்ப்பு நுட்பங்களை கலக்கும் ஒரு திறமையான, செங்குத்தாக ஒருங்கிணைக்கப்பட்ட ஆபரேட்டராக TA585 ஐ பாதுகாவலர்கள் கருத வேண்டும். கண்டறிதல் வாய்ப்புகளில் பின்வருவன அடங்கும்: இணைய அடிப்படையிலான ஓட்டங்களிலிருந்து உருவாகும் சந்தேகத்திற்கிடமான பவர்ஷெல்/ரன் உரையாடல் செயல்பாட்டைக் கண்காணித்தல், முறையான தளங்களில் முரண்பாடான ஜாவாஸ்கிரிப்ட் ஊசிகளை அடையாளம் காணுதல், நடத்தை கண்டறிதல்கள் மூலம் அறியப்பட்ட SonicCrypt-பேக் செய்யப்பட்ட பைனரிகளைத் தடுப்பது மற்றும் எதிர்பாராத HVNC/ரிமோட்-கட்டுப்பாடு இணைப்புகள் மற்றும் கோப்பு வெளியேற்ற முறைகளைக் கொடியிடுதல். வழக்கத்திற்கு மாறான C2 ஹோஸ்ட்களுக்கான தகவல்தொடர்புகள் மற்றும் பொது IP-கண்டுபிடிப்பு சேவைகளுக்கான வினவல்களை (எ.கா., api.ipify.org) கண்காணிப்பது, வெளிச்செல்லும் தரவு பரிமாற்றங்களுடன் இணைந்து தொற்றுநோய்களைக் கண்டறியக்கூடும்.
சுருக்கம்
TA585 என்பது விநியோகம், விநியோகம் மற்றும் பேலோட் செயல்பாட்டின் மீது கட்டுப்பாட்டைத் தக்க வைத்துக் கொள்ளும் ஒரு மீள் அச்சுறுத்தல் நடிகரைக் குறிக்கிறது. ஃபிஷிங், தள-நிலை ஜாவாஸ்கிரிப்ட் ஊசி, போலி CAPTCHA மேலடுக்குகள் மற்றும் வணிக ரீதியான MonsterV2 பேலோடு (SonicCrypt உடன் நிரம்பியுள்ளது) ஆகியவற்றை இணைப்பதன் மூலம், நடிகர் தரவு திருட்டு மற்றும் ரிமோட் கண்ட்ரோலுக்கான நம்பகமான, பல-வெக்டார் திறனைச் சேகரித்துள்ளார். நடிகரின் செயல்பாட்டு முதிர்ச்சி மற்றும் MonsterV2 இன் மட்டு அம்சத் தொகுப்பைக் கருத்தில் கொண்டு, நிறுவனங்கள் வலை-இயக்கப்படும் கட்டளை துவக்கங்கள், PowerShell பதிவிறக்க-செயல்படுத்தும் சங்கிலிகள், SonicCrypt-பேக் செய்யப்பட்ட பைனரிகள் மற்றும் சந்தேகத்திற்கிடமான HVNC அல்லது வெளியேற்ற செயல்பாட்டைக் கண்டறிவதற்கு முன்னுரிமை அளிக்க வேண்டும்.
