Шкідливе програмне забезпечення MonsterV2
Дослідники з кібербезпеки нещодавно викрили раніше не документованого кіберзлочинця, якого відстежували як TA585, який проводив складні фішингові та веб-ін'єкційні кампанії для поширення готового сімейства шкідливих програм, відомого як MonsterV2.
Зміст
TA585 — Оператор, який володіє повним ланцюгом знищення
TA585 вирізняється тим, що, схоже, контролює весь ланцюг атаки від початку до кінця. Замість того, щоб купувати дистрибутив, орендувати доступ у брокерів початкового доступу або покладатися на сторонні служби трафіку, TA585 керує власною інфраструктурою, механізмами доставки та інструментами встановлення. Аналітики описують кластер як складний: актор використовує веб-ін'єкції, фільтрацію та перевірки середовища, а також кілька методів доставки, щоб максимізувати успіх і уникнути аналізу.
Фішинг, ClickFix та приманки на тему IRS — посібник із соціальної інженерії
Ранні кампанії спиралися на класичні фішингові приманки, пов'язані з Податковою службою США (IRS). Цілі отримували повідомлення, що вказували на фальшиві URL-адреси, які відкривали PDF-файл; цей PDF-файл містив посилання на веб-сторінку з використанням тактики соціальної інженерії ClickFix. ClickFix обманом змушує жертву виконати команду через діалогове вікно «Виконати» Windows або термінал PowerShell, який потім виконує наступний скрипт PowerShell для завантаження та розгортання MonsterV2.
Веб-ін'єкції та підроблені накладки CAPTCHA
У наступних хвилях, що спостерігалися у квітні 2025 року, TA585 перейшов до компрометації легітимних веб-сайтів за допомогою шкідливих ін'єкцій JavaScript. Ці ін'єкції створювали фальшиві накладання перевірки CAPTCHA, які знову запускали процес ClickFix і зрештою запускали команду PowerShell для завантаження та запуску шкідливого програмного забезпечення. Ін'єкція JavaScript та пов'язана з нею інфраструктура (зокрема, intlspring.com) також були пов'язані з розповсюдженням інших викрадачів коду, включаючи Rhadamanthys Stealer.
Зловживання GitHub та фальшиві повідомлення про безпеку
Третя група кампаній TA585 зловживала механізмом сповіщень GitHub: актор позначав користувачів GitHub у шахрайських повідомленнях «безпеки», які містили URL-адреси, що перенаправляли жертв на сайти, контрольовані акторами. Ці фальшиві сповіщення GitHub були ще одним вектором, який використовувався для залучення жертв до того ж ланцюжка ClickFix/PowerShell.
CoreSecThree Framework — основоположна структура доставки
Кластери активності web-inject та fake-GitHub пов'язані з CoreSecThree, фреймворком, який дослідники характеризують як «складний» та використовується з лютого 2022 року. CoreSecThree постійно використовується для поширення шкідливого програмного забезпечення-стелера в кількох кампаніях.
MonsterV2 — Походження та варіанти
MonsterV2 — це багатоцільова загроза: троян віддаленого доступу (RAT), викрадач програмного забезпечення та завантажувач. Дослідники вперше побачили його рекламу на кримінальних форумах у лютому 2025 року. Його також називають «Aurotun Stealer» (з помилкою у написанні слова «autorun»), а раніше він поширювався через CastleLoader (також відомий як CastleBot). Попередні версії активності TA585 поширювали Lumma Stealer до переходу на MonsterV2 на початку 2025 року.
Комерційна модель та геозонування
MonsterV2 продає російськомовний оператор. Ціни, що спостерігаються на кримінальних торговельних майданчиках: Standard Edition – 800 доларів США на місяць, а Enterprise Edition – 2000 доларів США на місяць. Enterprise-версія включає стелер + завантажувач, підтримку Hidden VNC (HVNC) та протоколу Chrome DevTools Protocol (CDP). Компонент стелера налаштовано таким чином, щоб уникнути зараження країн Співдружності Незалежних Держав (СНД).
Пакування, антианаліз та поведінка під час виконання
MonsterV2 зазвичай оснащений криптографом C++ під назвою SonicCrypt. SonicCrypt забезпечує багаторівневі антианалізні перевірки перед розшифруванням та завантаженням корисного навантаження, що дозволяє уникати виявлення. Під час виконання корисне навантаження розшифровується, виконує необхідні функції Windows API та намагається підвищити привілеї. Потім воно декодує вбудовану конфігурацію, яка вказує йому, як зв'язатися з його центром керування та контролю (C2) та які дії виконувати.
Прапорці конфігурації, що використовуються MonsterV2, включають:
- anti_dbg — якщо значення True, шкідливе програмне забезпечення намагається виявити та обійти налагоджувачі.
- anti_sandbox — якщо значення True, шкідливе програмне забезпечення намагається виявити пісочницю та використовує рудиментарні методи захисту від пісочниці.
- aurotun — якщо значення True, шкідливе програмне забезпечення намагається встановити стійкість (саме через цю помилку походить назва «Aurotun»).
- priviledge_escalation — якщо значення True, шкідливе програмне забезпечення намагається підвищити привілеї на хості.
Нетворкінг та поведінка C2
Якщо MonsterV2 успішно досягає свого C2, він спочатку надсилає базову системну телеметрію та геолокацію, запитуючи публічну службу (дослідники спостерігали запити до api.ipify.org). Відповідь C2 містить команди для виконання. У деяких спостережуваних операціях корисні навантаження, скинуті MonsterV2, були налаштовані на використання того самого сервера C2, що й інші корисні навантаження (наприклад, StealC), хоча ці інші кампанії не були безпосередньо пов'язані з TA585.
Задокументовані можливості MonsterV2:
Керівництво з пом'якшення та виявлення наслідків
Захисникам слід розглядати TA585 як потужного, вертикально інтегрованого оператора, який поєднує соціальну інженерію, компрометацію сайтів та багаторівневі методи антианалізу. Можливості виявлення включають: моніторинг підозрілої активності діалогових вікон PowerShell/Run, що походять з веб-потоків, виявлення аномальних ін'єкцій JavaScript на легітимних сайтах, блокування відомих бінарних файлів, упакованих SonicCrypt, за допомогою поведінкових виявлень та позначення неочікуваних підключень HVNC/віддаленого керування та шаблонів витоку файлів. Моніторинг зв'язку з незвичайними хостами C2 та запити до публічних служб виявлення IP-адрес (наприклад, api.ipify.org) у поєднанні з вихідними передачами даних також може виявляти зараження.
Короткий зміст
TA585 являє собою стійкого кіберзлочинця, який зберігає контроль над розповсюдженням, доставкою та операціями з корисним навантаженням. Поєднуючи фішинг, ін'єкції JavaScript на рівні сайту, підроблені накладання CAPTCHA та комерційне корисне навантаження MonsterV2 (упаковане SonicCrypt), кіберзлочинець створив надійну багатовекторну можливість для крадіжки даних та дистанційного керування. Враховуючи операційну зрілість кіберзлочинця та модульний набір функцій MonsterV2, організації повинні пріоритезувати виявлення запуску команд через веб, ланцюжків завантаження та виконання PowerShell, бінарних файлів, упакованих SonicCrypt, та підозрілої активності HVNC або вилучення даних.
