มัลแวร์ MonsterV2

นักวิจัยด้านความปลอดภัยทางไซเบอร์เพิ่งเปิดเผยผู้ก่อภัยคุกคามที่ยังไม่มีการบันทึกมาก่อน ซึ่งติดตามได้ว่าคือ TA585 ซึ่งได้ดำเนินการฟิชชิ่งและการฉีดเว็บที่ซับซ้อนเพื่อส่งมัลแวร์สำเร็จรูปตระกูล MonsterV2

TA585 — ผู้ปฏิบัติการที่เป็นเจ้าของห่วงโซ่การฆ่าแบบเต็มรูปแบบ

TA585 โดดเด่นเพราะดูเหมือนจะควบคุมห่วงโซ่การโจมตีทั้งหมดตั้งแต่ต้นจนจบ แทนที่จะซื้อการกระจาย เช่าสิทธิ์การเข้าถึงจากโบรกเกอร์การเข้าถึงเริ่มต้น หรือพึ่งพาบริการทราฟฟิกของบุคคลที่สาม TA585 จะจัดการโครงสร้างพื้นฐาน กลไกการจัดส่ง และเครื่องมือติดตั้งของตนเอง นักวิเคราะห์อธิบายว่าคลัสเตอร์นี้มีความซับซ้อน โดยผู้กระทำใช้การฉีดเว็บ การกรอง การตรวจสอบสภาพแวดล้อม และเทคนิคการจัดส่งที่หลากหลายเพื่อเพิ่มโอกาสความสำเร็จสูงสุดและหลีกเลี่ยงการวิเคราะห์

ฟิชชิ่ง, ClickFix และเหยื่อล่อที่เกี่ยวข้องกับ IRS — คู่มือการจัดการทางสังคม
แคมเปญในช่วงแรกใช้การหลอกลวงแบบฟิชชิ่งแบบคลาสสิกที่มีธีมเกี่ยวกับกรมสรรพากรสหรัฐฯ (IRS) เป้าหมายได้รับข้อความที่ชี้ไปยัง URL ปลอม ซึ่งจะเปิดไฟล์ PDF โดยไฟล์ PDF นั้นมีลิงก์ไปยังเว็บเพจที่ใช้กลยุทธ์ทางวิศวกรรมสังคมของ ClickFix ClickFix หลอกเหยื่อให้รันคำสั่งผ่านกล่องโต้ตอบ Run ของ Windows หรือเทอร์มินัล PowerShell ซึ่งจะรันสคริปต์ PowerShell ตามมาเพื่อดึงและใช้งาน MonsterV2

การแทรกเว็บและการวางซ้อน CAPTCHA ปลอม

ในระลอกต่อมาในเดือนเมษายน 2568 TA585 ได้เปลี่ยนมาโจมตีเว็บไซต์ที่ถูกกฎหมายผ่านการแทรก JavaScript ที่เป็นอันตราย การแทรกเหล่านี้ทำให้เกิดโอเวอร์เลย์การยืนยัน CAPTCHA ปลอม ซึ่งกระตุ้นให้เกิดกระบวนการ ClickFix อีกครั้ง และในที่สุดก็เปิดคำสั่ง PowerShell เพื่อดาวน์โหลดและเริ่มต้นมัลแวร์ การแทรก JavaScript และโครงสร้างพื้นฐานที่เกี่ยวข้อง (โดยเฉพาะ intlspring.com) ยังเชื่อมโยงกับการแพร่กระจายของโปรแกรมขโมยข้อมูลอื่นๆ รวมถึง Rhadamanthys Stealer

การละเมิด GitHub และการแจ้งเตือนด้านความปลอดภัยที่เป็นเท็จ

แคมเปญ TA585 ชุดที่สามได้ละเมิดกลไกการแจ้งเตือนของ GitHub โดยผู้กระทำได้แท็กผู้ใช้ GitHub ในประกาศ 'ความปลอดภัย' ปลอม ซึ่งมี URL ที่นำเหยื่อไปยังเว็บไซต์ที่ผู้กระทำควบคุม การแจ้งเตือนปลอมของ GitHub เหล่านี้เป็นอีกหนึ่งช่องทางที่ใช้เพื่อผลักดันเหยื่อให้เข้าสู่เครือข่าย ClickFix/PowerShell เดียวกัน

CoreSecThree Framework — แกนหลักในการส่งมอบ

คลัสเตอร์กิจกรรมเว็บอินเจ็กต์และปลอมแปลง GitHub เชื่อมโยงกับ CoreSecThree ซึ่งเป็นเฟรมเวิร์กที่นักวิจัยระบุว่า "ซับซ้อน" และใช้งานมาตั้งแต่เดือนกุมภาพันธ์ 2022 CoreSecThree ถูกใช้อย่างต่อเนื่องเพื่อเผยแพร่มัลแวร์ขโมยข้อมูลในแคมเปญต่างๆ มากมาย

MonsterV2 — ต้นกำเนิดและรูปแบบต่างๆ

MonsterV2 เป็นภัยคุกคามอเนกประสงค์: โทรจันเข้าถึงระยะไกล (RAT), โปรแกรมขโมยข้อมูล และโปรแกรมโหลดข้อมูล นักวิจัยพบเห็นมันครั้งแรกในฟอรัมอาชญากรรมในเดือนกุมภาพันธ์ 2025 มันถูกเรียกว่า 'Aurotun Stealer' (สะกดผิดจากคำว่า 'autorun') และก่อนหน้านี้ถูกเผยแพร่ผ่าน CastleLoader (หรือที่รู้จักกันในชื่อ CastleBot) กิจกรรม TA585 รุ่นก่อนหน้าได้เผยแพร่ Lumma Stealer ก่อนที่จะเปลี่ยนมาใช้ MonsterV2 ในช่วงต้นปี 2025

รูปแบบเชิงพาณิชย์และการกำหนดขอบเขตทางภูมิศาสตร์

MonsterV2 จำหน่ายโดยผู้ให้บริการที่พูดภาษารัสเซีย ราคาที่พบในตลาดมืด: รุ่น Standard ราคา 800 ดอลลาร์สหรัฐต่อเดือน และรุ่น Enterprise ราคา 2,000 ดอลลาร์สหรัฐต่อเดือน ระดับ Enterprise ประกอบด้วย stealer + loader, Hidden VNC (HVNC) และรองรับ Chrome DevTools Protocol (CDP) ส่วนประกอบของ stealer ได้รับการกำหนดค่าเพื่อป้องกันการติดไวรัสในประเทศเครือรัฐเอกราช (CIS)

การบรรจุ การวิเคราะห์ต่อต้าน และพฤติกรรมรันไทม์

โดยทั่วไป MonsterV2 จะมาพร้อมกับโปรแกรมเข้ารหัส C++ ชื่อ SonicCrypt SonicCrypt มีระบบตรวจสอบการต่อต้านการวิเคราะห์แบบหลายชั้นก่อนถอดรหัสและโหลดเพย์โหลด ซึ่งช่วยให้สามารถหลบเลี่ยงการตรวจจับได้ ขณะรันไทม์ เพย์โหลดจะถอดรหัส ประมวลผลฟังก์ชัน Windows API ที่จำเป็น และพยายามยกระดับสิทธิ์ จากนั้นจะถอดรหัสการกำหนดค่าแบบฝังตัว ซึ่งจะสั่งการให้ติดต่อกับ Command-and-Control (C2) และดำเนินการตามขั้นตอนต่างๆ

แฟล็กการกำหนดค่าที่ใช้โดย MonsterV2 ประกอบด้วย:

• anti_dbg — เมื่อเป็นจริง มัลแวร์จะพยายามตรวจจับและหลบเลี่ยงดีบักเกอร์
• anti_sandbox — เมื่อเป็นจริง มัลแวร์จะพยายามตรวจจับแซนด์บ็อกซ์และใช้เทคนิคต่อต้านแซนด์บ็อกซ์ขั้นพื้นฐาน
• aurotun — เมื่อเป็นจริง มัลแวร์จะพยายามสร้างความคงอยู่ (การสะกดผิดเป็นที่มาของชื่อ 'Aurotun')
• priviledge_escalation — เมื่อเป็นจริง มัลแวร์จะพยายามยกระดับสิทธิ์บนโฮสต์

การสร้างเครือข่ายและพฤติกรรม C2

หาก MonsterV2 เข้าถึง C2 ได้สำเร็จ มันจะส่งข้อมูลการวัดระยะไกลของระบบพื้นฐานและการระบุตำแหน่งทางภูมิศาสตร์โดยการสอบถามบริการสาธารณะ (นักวิจัยพบคำขอไปยัง api.ipify.org) การตอบสนองของ C2 ประกอบด้วยคำสั่งที่ต้องดำเนินการ ในบางปฏิบัติการที่สังเกตพบ เพย์โหลดที่ MonsterV2 ทิ้งถูกกำหนดค่าให้ใช้เซิร์ฟเวอร์ C2 เดียวกันกับเพย์โหลดอื่นๆ (เช่น StealC) แม้ว่าแคมเปญอื่นๆ เหล่านั้นจะไม่ได้เชื่อมโยงกับ TA585 โดยตรงก็ตาม

ความสามารถที่ได้รับการบันทึกไว้ของ MonsterV2 มีดังนี้:

คำแนะนำในการบรรเทาและการตรวจจับ

ผู้ป้องกันควรปฏิบัติต่อ TA585 ในฐานะผู้ปฏิบัติการแบบบูรณาการในแนวตั้งที่มีความสามารถ ซึ่งผสมผสานวิศวกรรมสังคม การบุกรุกเว็บไซต์ และเทคนิคการวิเคราะห์เชิงป้องกันแบบหลายชั้น โอกาสในการตรวจจับประกอบด้วย: การตรวจสอบกิจกรรมไดอะล็อก PowerShell/Run ที่น่าสงสัยซึ่งเกิดจากโฟลว์บนเว็บ การระบุการแทรก JavaScript ที่ผิดปกติบนเว็บไซต์ที่ถูกต้อง การบล็อกไบนารีที่บรรจุ SonicCrypt ที่รู้จักผ่านการตรวจจับพฤติกรรม และการระบุการเชื่อมต่อ HVNC/การควบคุมระยะไกลที่ไม่คาดคิดและรูปแบบการขโมยไฟล์ การตรวจสอบการสื่อสารไปยังโฮสต์ C2 ที่ผิดปกติและการสอบถามไปยังบริการค้นหา IP สาธารณะ (เช่น api.ipify.org) ร่วมกับการถ่ายโอนข้อมูลขาออกอาจเปิดเผยการติดเชื้อได้เช่นกัน

สรุป

TA585 แสดงถึงภัยคุกคามที่มีความยืดหยุ่นและสามารถควบคุมการกระจาย การนำส่ง และการทำงานของเพย์โหลดได้ ด้วยการผสานฟิชชิ่ง การแทรก JavaScript ระดับไซต์ การซ้อนทับ CAPTCHA ปลอม และเพย์โหลด MonsterV2 เชิงพาณิชย์ (ที่บรรจุมาพร้อมกับ SonicCrypt) แฮกเกอร์จึงสามารถสร้างความสามารถแบบมัลติเวคเตอร์ที่เชื่อถือได้สำหรับการขโมยข้อมูลและการควบคุมระยะไกล เมื่อพิจารณาถึงความสมบูรณ์ในการใช้งานของแฮกเกอร์และชุดฟีเจอร์แบบโมดูลาร์ของ MonsterV2 องค์กรต่างๆ ควรให้ความสำคัญกับการตรวจจับการเปิดคำสั่งที่ขับเคลื่อนด้วยเว็บ เชนการดาวน์โหลด-execute ของ PowerShell ไฟล์ไบนารีที่บรรจุอยู่ใน SonicCrypt และกิจกรรม HVNC หรือการขโมยข้อมูลที่น่าสงสัย