బహుళ-లైసెన్స్ తగ్గింపు కోట్
బెదిరింపు డేటాబేస్ మాల్వేర్ MonsterV2 మాల్వేర్

MonsterV2 మాల్వేర్

మాల్వేర్, అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT)లో Mezo నాటికి
దీనికి అనువదించండి:

సైబర్ భద్రతా పరిశోధకులు ఇటీవల TA585 గా ట్రాక్ చేయబడిన గతంలో నమోదుకాని బెదిరింపు కారకుడిని బయటపెట్టారు, అతను MonsterV2 అని పిలువబడే ఆఫ్-ది-షెల్ఫ్ మాల్వేర్ కుటుంబాన్ని అందించడానికి అధునాతన ఫిషింగ్ మరియు వెబ్-ఇంజెక్షన్ ప్రచారాలను నిర్వహిస్తున్నాడు.

TA585 — పూర్తి కిల్ చైన్‌ను కలిగి ఉన్న ఆపరేటర్

TA585 దాని మొత్తం దాడి గొలుసును ఎండ్-టు-ఎండ్ నియంత్రిస్తున్నట్లు కనిపిస్తుంది కాబట్టి ఇది ప్రత్యేకంగా నిలుస్తుంది. పంపిణీని కొనుగోలు చేయడం, ప్రారంభ-యాక్సెస్ బ్రోకర్ల నుండి యాక్సెస్‌ను లీజుకు తీసుకోవడం లేదా మూడవ-పక్ష ట్రాఫిక్ సేవలపై ఆధారపడటం కంటే, TA585 దాని స్వంత మౌలిక సదుపాయాలు, డెలివరీ మెకానిక్స్ మరియు ఇన్‌స్టాలేషన్ సాధనాలను నిర్వహిస్తుంది. విశ్లేషకులు క్లస్టర్‌ను అధునాతనమైనదిగా వర్ణిస్తారు: విజయాన్ని పెంచడానికి మరియు విశ్లేషణను నివారించడానికి నటుడు వెబ్ ఇంజెక్షన్లు, ఫిల్టరింగ్ మరియు పర్యావరణ తనిఖీలు మరియు బహుళ డెలివరీ పద్ధతులను ఉపయోగిస్తాడు.

ఫిషింగ్, క్లిక్‌ఫిక్స్ మరియు IRS-నేపథ్య లూర్‌లు — సోషల్ ఇంజనీరింగ్ ప్లేబుక్
ప్రారంభ ప్రచారాలు US ఇంటర్నల్ రెవెన్యూ సర్వీస్ (IRS) చుట్టూ ఉన్న క్లాసిక్ ఫిషింగ్ ఎరలపై ఆధారపడి ఉన్నాయి. టార్గెట్‌లకు నకిలీ URLలను సూచించే సందేశాలు వచ్చాయి, అవి PDFని తెరిచాయి; ఆ PDFలో ClickFix సోషల్ ఇంజనీరింగ్ వ్యూహాన్ని ఉపయోగించే వెబ్ పేజీకి లింక్ ఉంది. ClickFix బాధితుడిని Windows Run డైలాగ్ లేదా PowerShell టెర్మినల్ ద్వారా కమాండ్‌ను అమలు చేయమని మోసగిస్తుంది, అది MonsterV2ని లాగి అమలు చేయడానికి ఫాలో-ఆన్ PowerShell స్క్రిప్ట్‌ను అమలు చేస్తుంది.

వెబ్ ఇంజెక్షన్లు మరియు నకిలీ CAPTCHA ఓవర్లేలు

ఏప్రిల్ 2025లో కనిపించిన తదనంతర పరిణామాలలో, TA585 హానికరమైన జావాస్క్రిప్ట్ ఇంజెక్షన్ల ద్వారా చట్టబద్ధమైన వెబ్‌సైట్‌లను రాజీ చేయడానికి మారింది. ఆ ఇంజెక్షన్లు నకిలీ CAPTCHA వెరిఫికేషన్ ఓవర్‌లేలను ఉత్పత్తి చేశాయి, ఇవి మళ్ళీ ClickFix ప్రవాహాన్ని ప్రేరేపించాయి మరియు చివరికి మాల్వేర్‌ను డౌన్‌లోడ్ చేసి ప్రారంభించడానికి పవర్‌షెల్ ఆదేశాన్ని ప్రారంభించాయి. జావాస్క్రిప్ట్ ఇంజెక్ట్ మరియు సంబంధిత మౌలిక సదుపాయాలు (ముఖ్యంగా intlspring.com) కూడా Rhadamanthys స్టీలర్‌తో సహా ఇతర స్టీలర్‌ల పంపిణీకి అనుసంధానించబడి ఉన్నాయి.

GitHub దుర్వినియోగం మరియు బోగస్ భద్రతా నోటీసులు

TA585 ప్రచారాల యొక్క మూడవ సెట్ GitHub యొక్క నోటిఫికేషన్ మెకానిక్‌లను దుర్వినియోగం చేసింది: నటుడు బాధితులను నటుల నియంత్రణలో ఉన్న సైట్‌లకు మళ్లించే URLలను కలిగి ఉన్న మోసపూరిత 'భద్రతా' నోటీసులలో GitHub వినియోగదారులను ట్యాగ్ చేశాడు. ఈ నకిలీ GitHub హెచ్చరికలు బాధితులను అదే ClickFix/PowerShell గొలుసులోకి నెట్టడానికి ఉపయోగించే మరొక వెక్టర్.

కోర్‌సెక్‌త్రీ ఫ్రేమ్‌వర్క్ — డెలివరీ బ్యాక్‌బోన్

వెబ్-ఇంజెక్ట్ మరియు నకిలీ-గిట్‌హబ్ యాక్టివిటీ క్లస్టర్‌లు కోర్‌సెక్‌త్రీతో అనుబంధించబడ్డాయి, ఈ ఫ్రేమ్‌వర్క్‌ను పరిశోధకులు 'అధునాతనమైనది'గా వర్ణించారు మరియు ఫిబ్రవరి 2022 నుండి వాడుకలో ఉన్నారు. స్టీలర్ మాల్వేర్‌ను బహుళ ప్రచారాలలో ప్రచారం చేయడానికి కోర్‌సెక్‌త్రీ స్థిరంగా ఉపయోగించబడుతోంది.

MonsterV2 — మూలాలు మరియు వైవిధ్యాలు

MonsterV2 అనేది బహుళ ప్రయోజన ముప్పు: రిమోట్ యాక్సెస్ ట్రోజన్ (RAT), స్టీలర్ మరియు లోడర్. పరిశోధకులు దీనిని మొదట ఫిబ్రవరి 2025లో క్రిమినల్ ఫోరమ్‌లలో ప్రచారం చేయడాన్ని చూశారు. దీనిని 'ఆరోటన్ స్టీలర్' ('ఆటోరన్' యొక్క తప్పు స్పెల్లింగ్) అని కూడా పిలుస్తారు మరియు గతంలో CastleLoader (దీనిని CastleBot అని కూడా పిలుస్తారు) ద్వారా పంపిణీ చేయబడింది. TA585 కార్యాచరణ యొక్క మునుపటి పునరావృత్తులు 2025 ప్రారంభంలో MonsterV2కి పివోట్ చేయడానికి ముందు Lumma Stealerను పంపిణీ చేశాయి.

వాణిజ్య నమూనా మరియు జియోఫెన్సింగ్

MonsterV2 రష్యన్ మాట్లాడే ఆపరేటర్ ద్వారా అమ్ముడవుతుంది. క్రిమినల్ మార్కెట్‌ప్లేస్‌లలో ధర గమనించబడింది: స్టాండర్డ్ ఎడిషన్ నెలకు USD 800 మరియు ఎంటర్‌ప్రైజ్ ఎడిషన్ నెలకు USD 2,000. ఎంటర్‌ప్రైజ్ టైర్‌లో స్టీలర్ + లోడర్, హిడెన్ VNC (HVNC) మరియు క్రోమ్ డెవ్‌టూల్స్ ప్రోటోకాల్ (CDP) మద్దతు ఉన్నాయి. స్టీలర్ భాగం కామన్వెల్త్ ఆఫ్ ఇండిపెండెంట్ స్టేట్స్ (CIS) దేశాలకు సోకకుండా ఉండటానికి కాన్ఫిగర్ చేయబడింది.

ప్యాకింగ్, యాంటీ-విశ్లేషణ మరియు రన్‌టైమ్ ప్రవర్తన

MonsterV2 సాధారణంగా SonicCrypt అనే C++ క్రిప్టర్‌తో ప్యాక్ చేయబడుతుంది. SonicCrypt పేలోడ్‌ను డీక్రిప్ట్ చేయడానికి మరియు లోడ్ చేయడానికి ముందు లేయర్డ్ యాంటీ-ఎనాలిసిస్ తనిఖీలను అందిస్తుంది, డిటెక్షన్ ఎగవేతను అనుమతిస్తుంది. రన్‌టైమ్‌లో పేలోడ్ డీక్రిప్ట్ చేస్తుంది, దానికి అవసరమైన Windows API ఫంక్షన్‌లను పరిష్కరిస్తుంది మరియు ప్రివిలేజ్ ఎలివేషన్‌ను ప్రయత్నిస్తుంది. తర్వాత ఇది ఎంబెడెడ్ కాన్ఫిగరేషన్‌ను డీకోడ్ చేస్తుంది, ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2)ను ఎలా సంప్రదించాలో మరియు ఏ చర్యలు తీసుకోవాలో నిర్దేశిస్తుంది.

MonsterV2 ఉపయోగించే కాన్ఫిగర్ ఫ్లాగ్‌లలో ఇవి ఉన్నాయి:

  • anti_dbg — True అయినప్పుడు, మాల్వేర్ డీబగ్గర్‌లను గుర్తించి తప్పించుకోవడానికి ప్రయత్నిస్తుంది.
  • anti_sandbox — True అయినప్పుడు, మాల్వేర్ శాండ్‌బాక్స్ గుర్తింపును ప్రయత్నిస్తుంది మరియు ప్రాథమిక యాంటీ-శాండ్‌బాక్స్ పద్ధతులను ఉపయోగిస్తుంది.
  • aurotun — True అయినప్పుడు, మాల్వేర్ నిలకడను స్థాపించడానికి ప్రయత్నిస్తుంది ('Aurotun' పేరుకు అక్షరదోషమే మూలం).
  • priviledge_escalation — ట్రూ అయినప్పుడు, మాల్వేర్ హోస్ట్‌పై ప్రత్యేక హక్కులను పెంచడానికి ప్రయత్నిస్తుంది.

నెట్‌వర్కింగ్ మరియు C2 ప్రవర్తన

MonsterV2 దాని C2 ను విజయవంతంగా చేరుకుంటే, అది మొదట పబ్లిక్ సర్వీస్‌ను ప్రశ్నించడం ద్వారా ప్రాథమిక సిస్టమ్ టెలిమెట్రీ మరియు జియోలొకేషన్‌ను పంపుతుంది (పరిశోధకులు api.ipify.org కు అభ్యర్థనలను గమనించారు). C2 ప్రతిస్పందన అమలు చేయడానికి ఆదేశాలను కలిగి ఉంటుంది. కొన్ని పరిశీలించిన ఆపరేషన్లలో, MonsterV2-వదిలేసిన పేలోడ్‌లు ఇతర పేలోడ్‌ల మాదిరిగానే అదే C2 సర్వర్‌ను ఉపయోగించడానికి కాన్ఫిగర్ చేయబడ్డాయి (ఉదాహరణకు, స్టీల్‌సి), అయితే ఆ ఇతర ప్రచారాలు నేరుగా TA585 కు ఆపాదించబడలేదు.

MonsterV2 యొక్క డాక్యుమెంట్ చేయబడిన సామర్థ్యాలు:

  • సున్నితమైన డేటాను దొంగిలించి సర్వర్‌కు పంపండి.
  • cmd.exe లేదా PowerShell ద్వారా ఏకపక్ష ఆదేశాలను అమలు చేయండి.
  • ప్రక్రియలను ముగించండి, నిలిపివేయండి లేదా తిరిగి ప్రారంభించండి.
  • ఇన్ఫెక్షన్ సోకిన హోస్ట్‌కు HVNC కనెక్షన్‌లను ఏర్పాటు చేయండి.
  • డెస్క్‌టాప్ స్క్రీన్‌షాట్‌లను సంగ్రహించండి.
  • కీలాగర్‌ను అమలు చేయండి.
  • ఫైళ్ళను లెక్కించండి, మార్చండి, కాపీ చేయండి మరియు నిష్క్రమించండి.
  • సిస్టమ్‌ను షట్ డౌన్ చేయండి లేదా క్రాష్ చేయండి.
  • తదుపరి దశ పేలోడ్‌లను డౌన్‌లోడ్ చేసి అమలు చేయండి (గమనించబడిన ఉదాహరణలు: స్టీల్‌సి మరియు రెమ్‌కోస్ రాట్).

    • తగ్గింపు మరియు గుర్తింపు మార్గదర్శకత్వం

    డిఫెండర్లు TA585ని సోషల్ ఇంజనీరింగ్, సైట్ రాజీ మరియు లేయర్డ్ యాంటీ-అనాలిసిస్ టెక్నిక్‌లను మిళితం చేసే సామర్థ్యం గల, నిలువుగా ఇంటిగ్రేటెడ్ ఆపరేటర్‌గా పరిగణించాలి. గుర్తింపు అవకాశాలలో ఇవి ఉన్నాయి: వెబ్ ఆధారిత ప్రవాహాల నుండి ఉద్భవించే అనుమానాస్పద పవర్‌షెల్/రన్ డైలాగ్ యాక్టివిటీని పర్యవేక్షించడం, చట్టబద్ధమైన సైట్‌లలో అసాధారణ జావాస్క్రిప్ట్ ఇంజెక్షన్‌లను గుర్తించడం, ప్రవర్తనా గుర్తింపుల ద్వారా తెలిసిన సోనిక్‌క్రిప్ట్-ప్యాక్డ్ బైనరీలను నిరోధించడం మరియు ఊహించని HVNC/రిమోట్-కంట్రోల్ కనెక్షన్‌లు మరియు ఫైల్ ఎక్స్‌ఫిల్ట్రేషన్ నమూనాలను ఫ్లాగ్ చేయడం. అసాధారణ C2 హోస్ట్‌లకు కమ్యూనికేషన్‌లను పర్యవేక్షించడం మరియు అవుట్‌బౌండ్ డేటా బదిలీలతో కలిపి పబ్లిక్ IP-డిస్కవరీ సేవలకు (ఉదా., api.ipify.org) ప్రశ్నలు కూడా ఇన్ఫెక్షన్‌లను వెలికితీయవచ్చు.

    సారాంశం

    TA585 అనేది పంపిణీ, డెలివరీ మరియు పేలోడ్ ఆపరేషన్‌పై నియంత్రణను కలిగి ఉండే స్థితిస్థాపక ముప్పు నటుడిని సూచిస్తుంది. ఫిషింగ్, సైట్-స్థాయి జావాస్క్రిప్ట్ ఇంజెక్షన్, నకిలీ CAPTCHA ఓవర్‌లేలు మరియు వాణిజ్య MonsterV2 పేలోడ్ (SonicCryptతో నిండి ఉంది) కలపడం ద్వారా, నటుడు డేటా దొంగతనం మరియు రిమోట్ కంట్రోల్ కోసం నమ్మకమైన, బహుళ-వెక్టర్ సామర్థ్యాన్ని సమీకరించాడు. నటుడి కార్యాచరణ పరిపక్వత మరియు MonsterV2 యొక్క మాడ్యులర్ ఫీచర్ సెట్‌ను దృష్టిలో ఉంచుకుని, సంస్థలు వెబ్-ఆధారిత కమాండ్ లాంచ్‌లు, పవర్‌షెల్ డౌన్‌లోడ్-ఎగ్జిక్యూట్ చైన్‌లు, SonicCrypt-ప్యాక్డ్ బైనరీలు మరియు అనుమానాస్పద HVNC లేదా ఎక్స్‌ఫిల్ట్రేషన్ యాక్టివిటీని గుర్తించడానికి ప్రాధాన్యత ఇవ్వాలి.

    ట్రెండింగ్‌లో ఉంది

    Conatysystems.com

    రోగ్ వెబ్‌సైట్‌లు, బ్రౌజర్ హైజాకర్లు
    Conatysystems.com దాని సందర్శకులను మోసగించడానికి తప్పుదారి పట్టించే మరియు మోసపూరిత సందేశాలను ఉపయోగించే మరొక మోసపూరిత వెబ్‌సైట్ కంటే కొంచెం ఎక్కువగా కనిపిస్తుంది. రిమోట్‌గా కూడా ఉపయోగకరమైన కంటెంట్...

    ApeX ప్రోటోకాల్ ఓటు రివార్డ్ స్కామ్

    రోగ్ వెబ్‌సైట్‌లు
    వెబ్‌లో నమ్మదగిన నకిలీలు మరియు జాగ్రత్తగా రూపొందించిన ఉచ్చులు ఉన్నాయి. స్కామర్లు క్రమం తప్పకుండా చట్టబద్ధమైన క్రిప్టో సైట్‌లను క్లోన్ చేస్తారు మరియు ప్రజలను తప్పుడు భద్రతా భావనలోకి నెట్టడానికి...

    Auggiver.co.in

    రోగ్ వెబ్‌సైట్‌లు, బ్రౌజర్ హైజాకర్లు
    Auggiver.co.in అనేది ఒక మోసపూరిత వెబ్‌సైట్, ఇది దాని పుష్ నోటిఫికేషన్‌లకు సభ్యత్వం పొందేలా వినియోగదారులను ఒత్తిడి చేయడానికి మానిప్యులేటివ్ వ్యూహాలను ఉపయోగిస్తుంది. తదనంతరం, వెబ్‌సైట్ వినియోగదారుల...

    అత్యంత వీక్షించబడిన

    మాల్వేర్

    ఫిషింగ్, స్పామ్
    33,770
    'Apple Pay సస్పెండ్ చేయబడింది' స్కామ్ సందేశం Apple Pay వినియోగదారులను లక్ష్యంగా చేసుకునే ఒక రకమైన ఫిషింగ్ వ్యూహం. యూజర్ యొక్క Apple Pay వాలెట్ తాత్కాలికంగా నిలిపివేయబడిందని మరియు దానిని పునరుద్ధరించడానికి లింక్‌ను క్లిక్ చేయమని సందేశం పేర్కొంది. అయితే, లింక్‌పై క్లిక్ చేయడం ద్వారా వినియోగదారు వారి వ్యక్తిగత మరియు ఆర్థిక సమాచారాన్ని దొంగిలించడానికి రూపొందించబడిన నకిలీ వెబ్‌సైట్‌కి...
    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్ స్క్రీన్ షాట్

    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్

    ఫిషింగ్, స్పామ్
    30,676
    గీక్ స్క్వాడ్, ప్రముఖ టెక్ సపోర్ట్ ప్రొవైడర్, గీక్ స్క్వాడ్ ఇమెయిల్ స్కామ్ అనే ఫిషింగ్ స్కామ్‌కు బాధితురాలిగా మారింది. ఈ టెక్ సపోర్ట్ స్కామ్ నకిలీ ఇమెయిల్‌లను ఉపయోగిస్తుంది, ఇది క్రెడిట్ కార్డ్...

    Fuq.com

    రోగ్ యాంటీ-స్పైవేర్ ప్రోగ్రామ్, Mac మాల్వేర్
    23,190
    Fuq.com అనేది అశ్లీల కంటెంట్‌తో వెబ్‌సైట్‌లను ప్రచారం చేసే యాడ్‌వేర్-రకం ప్రోగ్రామ్. ఈ సంభావ్య అవాంఛిత ప్రోగ్రామ్ (PUP) యొక్క ప్రకటనల ప్రచారాలు చాలా దూకుడుగా ఉన్నాయి. సోకిన పరికరాలలో సంబంధిత...
    లోడ్...