Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım MonsterV2 Kötü Amaçlı Yazılım

MonsterV2 Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Siber güvenlik araştırmacıları, yakın zamanda TA585 olarak izlenen ve MonsterV2 olarak bilinen hazır bir kötü amaçlı yazılım ailesini dağıtmak için karmaşık kimlik avı ve web enjeksiyon kampanyaları yürüten daha önce belgelenmemiş bir tehdit aktörünü ortaya çıkardı.

TA585 — Tüm Öldürme Zincirine Sahip Bir Operatör

TA585, tüm saldırı zincirini uçtan uca kontrol ettiği için öne çıkıyor. Dağıtım satın almak, ilk erişim aracılarından erişim kiralamak veya üçüncü taraf trafik hizmetlerine güvenmek yerine, TA585 kendi altyapısını, dağıtım mekanizmalarını ve kurulum araçlarını yönetiyor. Analistler, kümeyi karmaşık olarak tanımlıyor: Saldırgan, başarıyı en üst düzeye çıkarmak ve analizden kaçınmak için web enjeksiyonları, filtreleme, ortam kontrolleri ve birden fazla dağıtım tekniği kullanıyor.

Kimlik avı, ClickFix ve IRS temalı yemler — sosyal mühendislik kılavuzu
İlk kampanyalar, ABD Gelir İdaresi (IRS) temalı klasik kimlik avı tuzaklarına dayanıyordu. Hedefler, sahte URL'lere yönlendiren ve bir PDF dosyasını açan mesajlar alıyordu; bu PDF dosyası, ClickFix sosyal mühendislik taktiğini kullanan bir web sayfasına bağlantı içeriyordu. ClickFix, kurbanı Windows Çalıştır iletişim kutusu veya bir PowerShell terminali aracılığıyla bir komut çalıştırmaya kandırıyor ve ardından MonsterV2'yi çekip dağıtmak için bir sonraki PowerShell betiğini çalıştırıyor.

Web Enjeksiyonları ve Sahte CAPTCHA Kaplamaları

Nisan 2025'te görülen sonraki dalgalarda, TA585 kötü amaçlı JavaScript enjeksiyonları yoluyla meşru web sitelerinin güvenliğini tehlikeye atmaya yöneldi. Bu enjeksiyonlar, ClickFix akışını tekrar tetikleyen ve nihayetinde kötü amaçlı yazılımı indirip başlatmak için bir PowerShell komutu başlatan sahte CAPTCHA doğrulama katmanları oluşturdu. JavaScript enjeksiyonu ve ilgili altyapı (özellikle intlspring.com), Rhadamanthys Stealer da dahil olmak üzere diğer hırsız yazılımların dağıtımıyla da ilişkilendirildi.

GitHub Kötüye Kullanımı ve Sahte Güvenlik Bildirimleri

Üçüncü bir TA585 kampanyası grubu, GitHub'ın bildirim mekanizmalarını kötüye kullandı: Saldırgan, kurbanları aktör kontrolündeki sitelere yönlendiren URL'ler içeren sahte "güvenlik" bildirimlerinde GitHub kullanıcılarını etiketledi. Bu sahte GitHub uyarıları, kurbanları aynı ClickFix/PowerShell zincirine çekmek için kullanılan bir başka yöntemdi.

CoreSecThree Çerçevesi — Teslimat Omurgası

Web enjeksiyonu ve sahte GitHub etkinlik kümeleri, araştırmacılar tarafından 'karmaşık' olarak nitelendirilen ve Şubat 2022'den beri kullanımda olan bir çerçeve olan CoreSecThree ile ilişkilendirilmiştir. CoreSecThree, birden fazla kampanyada hırsız kötü amaçlı yazılımları yaymak için sürekli olarak kullanılmıştır.

MonsterV2 — Kökenler ve Çeşitleri

MonsterV2, çok amaçlı bir tehdittir: uzaktan erişimli bir trojan (RAT), hırsız ve yükleyici. Araştırmacılar, ilk olarak Şubat 2025'te suç forumlarında reklamını gördüler. Ayrıca "Aurotun Stealer" ('autorun' kelimesinin yanlış yazılmış hali) olarak da anılıyor ve daha önce CastleLoader (CastleBot olarak da bilinir) aracılığıyla dağıtılmıştı. TA585 etkinliğinin önceki versiyonları, 2025 başlarında MonsterV2'ye geçiş yapmadan önce Lumma Stealer'ı dağıtmıştı.

Ticari Model ve Coğrafi Çitleme

MonsterV2, Rusça konuşan bir operatör tarafından satılmaktadır. Suç pazarlarında gözlemlenen fiyatlandırma: Standart sürüm aylık 800 ABD doları, Enterprise sürümü ise aylık 2.000 ABD dolarıdır. Enterprise katmanı, hırsız + yükleyici, Gizli VNC (HVNC) ve Chrome DevTools Protokolü (CDP) desteğini içerir. Hırsız bileşeni, Bağımsız Devletler Topluluğu (BDT) ülkelerine bulaşmayı önleyecek şekilde yapılandırılmıştır.

Paketleme, Anti-analiz ve Çalışma Zamanı Davranışı

MonsterV2, genellikle SonicCrypt adlı bir C++ şifreleyiciyle birlikte gelir. SonicCrypt, yükün şifresini çözüp yüklemeden önce katmanlı anti-analiz kontrolleri sağlayarak algılamadan kaçınmayı mümkün kılar. Çalışma zamanında yük, şifresini çözer, gerektirdiği Windows API işlevlerini çözümler ve ayrıcalık yükseltme girişiminde bulunur. Ardından, Komuta ve Kontrol (C2) ile nasıl iletişim kuracağını ve hangi eylemleri gerçekleştireceğini belirten gömülü bir yapılandırmayı çözer.

MonsterV2 tarafından kullanılan yapılandırma bayrakları şunlardır:

  • anti_dbg — True olduğunda, kötü amaçlı yazılım hata ayıklayıcıları tespit etmeye ve bunlardan kaçınmaya çalışır.
  • anti_sandbox — True olduğunda, kötü amaçlı yazılım, sanal alan algılamayı dener ve ilkel anti-sandbox tekniklerini kullanır.
  • aurotun — True olduğunda, kötü amaçlı yazılım kalıcılık sağlamaya çalışır (yanlış yazım, 'Aurotun' adının kaynağıdır).
  • priviledge_escalation — True olduğunda, kötü amaçlı yazılım ana bilgisayardaki ayrıcalıkları yükseltmeye çalışır.

Ağ Oluşturma ve C2 Davranışı

MonsterV2, C2 hedefine başarıyla ulaşırsa, öncelikle bir kamu hizmetine sorgu göndererek temel sistem telemetrisi ve coğrafi konum gönderir (araştırmacılar api.ipify.org adresine gelen istekleri gözlemledi). C2 yanıtı, yürütülecek komutları içerir. Gözlemlenen bazı operasyonlarda, MonsterV2 tarafından bırakılan yükler, diğer yüklerle (örneğin StealC) aynı C2 sunucusunu kullanacak şekilde yapılandırılmıştır; ancak bu diğer kampanyalar doğrudan TA585'e atfedilmemiştir.

MonsterV2'nin belgelenmiş yetenekleri şunlardır:

  • Hassas verileri çalıp sunucuya sızdırmak.
  • Cmd.exe veya PowerShell aracılığıyla istediğiniz komutları çalıştırın.
  • İşlemleri sonlandırın, askıya alın veya devam ettirin.
  • Enfekte ana bilgisayara HVNC bağlantıları kurun.
  • Masaüstü ekran görüntüleri yakalayın.
  • Bir keylogger çalıştırın.
  • Dosyaları numaralandırın, düzenleyin, kopyalayın ve dışarı çıkarın.
  • Sistemi kapatın veya çökertin.
  • Sonraki aşama yüklerini indirin ve çalıştırın (gözlemlenen örnekler: StealC ve Remcos RAT).

Azaltma ve Tespit Kılavuzu

Savunmacılar, TA585'i sosyal mühendislik, site güvenliği ihlali ve katmanlı anti-analiz tekniklerini harmanlayan, yetenekli ve dikey olarak entegre bir operatör olarak ele almalıdır. Tespit fırsatları şunları içerir: web tabanlı akışlardan kaynaklanan şüpheli PowerShell/Run iletişim kutusu etkinliklerinin izlenmesi, meşru sitelerdeki anormal JavaScript enjeksiyonlarının belirlenmesi, davranışsal tespitler yoluyla bilinen SonicCrypt paketli ikili dosyaların engellenmesi ve beklenmedik HVNC/uzaktan kontrol bağlantılarının ve dosya sızdırma kalıplarının işaretlenmesi. Giden veri aktarımlarıyla birlikte olağandışı C2 ana bilgisayarlarına yapılan iletişimlerin ve genel IP keşif hizmetlerine (örneğin, api.ipify.org) yapılan sorguların izlenmesi de enfeksiyonları ortaya çıkarabilir.

Özet

TA585, dağıtım, teslimat ve veri yükü işlemleri üzerinde kontrolü elinde tutan dirençli bir tehdit aktörüdür. Kimlik avı, site düzeyinde JavaScript enjeksiyonu, sahte CAPTCHA katmanları ve ticari MonsterV2 veri yükünü (SonicCrypt ile birlikte) bir araya getirerek, veri hırsızlığı ve uzaktan kontrol için güvenilir, çok vektörlü bir yetenek oluşturmuştur. Aktörün operasyonel olgunluğu ve MonsterV2'nin modüler özellik seti göz önüne alındığında, kuruluşlar web tabanlı komut başlatmalarının, PowerShell indirme-yürütme zincirlerinin, SonicCrypt ile paketlenmiş ikili dosyaların ve şüpheli HVNC veya sızdırma faaliyetlerinin tespitine öncelik vermelidir.

trend

En çok görüntülenen

Yükleniyor...