Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại MonsterV2

Phần mềm độc hại MonsterV2

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Các nhà nghiên cứu an ninh mạng gần đây đã vạch trần một tác nhân đe dọa chưa từng được ghi nhận trước đây, được theo dõi là TA585, đã thực hiện các chiến dịch lừa đảo và tấn công web tinh vi để phát tán một họ phần mềm độc hại có sẵn được gọi là MonsterV2.

TA585 — Nhà điều hành sở hữu toàn bộ chuỗi tiêu diệt

TA585 nổi bật vì dường như kiểm soát toàn bộ chuỗi tấn công từ đầu đến cuối. Thay vì mua dịch vụ phân phối, thuê quyền truy cập từ các nhà môi giới truy cập ban đầu hoặc dựa vào dịch vụ lưu lượng của bên thứ ba, TA585 tự quản lý cơ sở hạ tầng, cơ chế phân phối và công cụ cài đặt. Các nhà phân tích mô tả cụm tấn công này là tinh vi: tác nhân sử dụng các kỹ thuật chèn mã độc vào web, lọc và kiểm tra môi trường, cùng nhiều kỹ thuật phân phối khác nhau để tối đa hóa thành công và tránh bị phân tích.

Lừa đảo, ClickFix và các chiêu trò dụ dỗ theo chủ đề IRS — sách lược kỹ thuật xã hội
Các chiến dịch ban đầu dựa trên các chiêu trò lừa đảo cổ điển lấy chủ đề từ Sở Thuế vụ Hoa Kỳ (IRS). Mục tiêu nhận được tin nhắn trỏ đến các URL giả mạo, mở ra một tệp PDF; tệp PDF đó chứa liên kết đến một trang web sử dụng chiến thuật tấn công mạng xã hội ClickFix. ClickFix lừa nạn nhân chạy một lệnh thông qua hộp thoại Run của Windows hoặc thiết bị đầu cuối PowerShell, sau đó thực thi một tập lệnh PowerShell tiếp theo để kéo và triển khai MonsterV2.

Chèn mã Web và lớp phủ CAPTCHA giả

Trong các đợt tấn công tiếp theo vào tháng 4 năm 2025, TA585 đã chuyển sang xâm nhập các trang web hợp pháp thông qua việc chèn mã độc JavaScript. Những mã độc này tạo ra lớp phủ xác minh CAPTCHA giả mạo, một lần nữa kích hoạt luồng ClickFix và cuối cùng khởi chạy lệnh PowerShell để tải xuống và khởi chạy phần mềm độc hại. Mã độc JavaScript và cơ sở hạ tầng liên quan (đáng chú ý là intlspring.com) cũng có liên quan đến việc phân phối các mã độc đánh cắp khác, bao gồm Rhadamanthys Stealer.

Lạm dụng GitHub và thông báo bảo mật giả mạo

Nhóm chiến dịch TA585 thứ ba đã lợi dụng cơ chế thông báo của GitHub: kẻ tấn công đã gắn thẻ người dùng GitHub trong các thông báo "bảo mật" gian lận chứa các URL dẫn nạn nhân đến các trang web do kẻ tấn công kiểm soát. Những cảnh báo GitHub giả mạo này là một phương thức khác được sử dụng để dẫn nạn nhân vào cùng một chuỗi ClickFix/PowerShell.

CoreSecThree Framework — Xương sống phân phối

Các cụm hoạt động web-inject và fake-GitHub có liên quan đến CoreSecThree, một khuôn khổ được các nhà nghiên cứu mô tả là 'tinh vi' và đã được sử dụng từ tháng 2 năm 2022. CoreSecThree đã liên tục được sử dụng để phát tán phần mềm độc hại đánh cắp qua nhiều chiến dịch.

MonsterV2 — Nguồn gốc và Biến thể

MonsterV2 là một mối đe dọa đa năng: một trojan truy cập từ xa (RAT), một kẻ đánh cắp dữ liệu và một trình tải dữ liệu. Các nhà nghiên cứu lần đầu tiên thấy nó được quảng cáo trên các diễn đàn tội phạm vào tháng 2 năm 2025. Nó cũng được gọi là 'Aurotun Stealer' (viết sai chính tả của 'autorun') và trước đây đã được phát tán qua CastleLoader (còn được gọi là CastleBot). Các phiên bản trước đó của hoạt động TA585 đã phát tán Lumma Stealer trước khi chuyển sang MonsterV2 vào đầu năm 2025.

Mô hình thương mại và hàng rào địa lý

MonsterV2 được bán bởi một nhà điều hành nói tiếng Nga. Giá cả được quan sát trên các chợ đen: phiên bản Tiêu chuẩn có giá 800 USD/tháng, và phiên bản Doanh nghiệp có giá 2.000 USD/tháng. Gói Doanh nghiệp bao gồm hỗ trợ stealer + loader, Hidden VNC (HVNC) và Chrome DevTools Protocol (CDP). Thành phần stealer được cấu hình để tránh lây nhiễm sang các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS).

Đóng gói, Chống phân tích và Hành vi thời gian chạy

MonsterV2 thường được đóng gói với một trình mã hóa C++ có tên là SonicCrypt. SonicCrypt cung cấp các kiểm tra chống phân tích theo lớp trước khi giải mã và tải payload, cho phép tránh bị phát hiện. Khi chạy, payload sẽ giải mã, xử lý các hàm API Windows mà nó yêu cầu và thử nâng cao đặc quyền. Sau đó, nó giải mã một cấu hình nhúng hướng dẫn cách liên hệ với Command-and-Control (C2) và các hành động cần thực hiện.

Các cờ cấu hình được MonsterV2 sử dụng bao gồm:

  • anti_dbg — khi Đúng, phần mềm độc hại sẽ cố gắng phát hiện và trốn tránh trình gỡ lỗi.
  • anti_sandbox — khi True, phần mềm độc hại sẽ cố gắng phát hiện hộp cát và sử dụng các kỹ thuật chống hộp cát thô sơ.
  • aurotun — khi True, phần mềm độc hại sẽ cố gắng thiết lập tính bền bỉ (lỗi chính tả là nguồn gốc của tên 'Aurotun').
  • priviledge_escalation — khi True, phần mềm độc hại sẽ cố gắng nâng cao đặc quyền trên máy chủ.

Mạng lưới và hành vi C2

Nếu MonsterV2 tiếp cận thành công C2, trước tiên nó sẽ gửi dữ liệu đo từ xa và định vị địa lý cơ bản của hệ thống bằng cách truy vấn một dịch vụ công cộng (các nhà nghiên cứu đã quan sát các yêu cầu gửi đến api.ipify.org). Phản hồi từ C2 chứa các lệnh cần thực thi. Trong một số hoạt động được quan sát, các tải trọng do MonsterV2 thả xuống đã được cấu hình để sử dụng cùng máy chủ C2 với các tải trọng khác (ví dụ: StealC), mặc dù các chiến dịch khác đó không được quy trực tiếp cho TA585.

Các khả năng được ghi nhận của MonsterV2 là:

  • Đánh cắp dữ liệu nhạy cảm và truyền đến máy chủ.
  • Thực hiện các lệnh tùy ý thông qua cmd.exe hoặc PowerShell.
  • Kết thúc, tạm dừng hoặc tiếp tục quy trình.
  • Thiết lập kết nối HVNC với máy chủ bị nhiễm.
  • Chụp ảnh màn hình máy tính.
  • Chạy keylogger.
  • Liệt kê, thao tác, sao chép và trích xuất các tập tin.
  • Tắt hoặc làm hệ thống bị sập.
  • Tải xuống và thực thi các tải trọng giai đoạn tiếp theo (ví dụ đã quan sát: StealC và Remcos RAT).

Hướng dẫn giảm thiểu và phát hiện

Các bên phòng thủ nên coi TA585 là một nhà điều hành tích hợp theo chiều dọc, có năng lực, kết hợp kỹ thuật xã hội, xâm nhập trang web và các kỹ thuật chống phân tích lớp. Các cơ hội phát hiện bao gồm: giám sát hoạt động hộp thoại PowerShell/Run đáng ngờ bắt nguồn từ các luồng dữ liệu trên web, xác định các hành vi chèn JavaScript bất thường trên các trang web hợp pháp, chặn các tệp nhị phân được đóng gói SonicCrypt đã biết thông qua phát hiện hành vi và đánh dấu các kết nối HVNC/điều khiển từ xa bất ngờ và các kiểu rò rỉ tệp. Việc giám sát các liên lạc đến các máy chủ C2 bất thường và các truy vấn đến các dịch vụ khám phá IP công cộng (ví dụ: api.ipify.org) kết hợp với việc truyền dữ liệu ra bên ngoài cũng có thể phát hiện ra các trường hợp nhiễm độc.

Bản tóm tắt

TA585 đại diện cho một tác nhân đe dọa kiên cường, nắm quyền kiểm soát hoạt động phân phối, vận chuyển và tải trọng. Bằng cách kết hợp lừa đảo, chèn JavaScript cấp độ trang web, lớp phủ CAPTCHA giả mạo và tải trọng MonsterV2 thương mại (được tích hợp SonicCrypt), tác nhân này đã xây dựng được khả năng đa hướng đáng tin cậy để đánh cắp dữ liệu và điều khiển từ xa. Với sự trưởng thành về mặt hoạt động của tác nhân này và bộ tính năng mô-đun của MonsterV2, các tổ chức nên ưu tiên phát hiện các lệnh khởi chạy trên web, chuỗi tải xuống-thực thi PowerShell, các tệp nhị phân được tích hợp SonicCrypt và các hoạt động HVNC hoặc rò rỉ dữ liệu đáng ngờ.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,770
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...