MonsterV2 恶意软件
网络安全研究人员最近揭露了一个之前未记录的威胁行为者,追踪编号为 TA585,该行为者一直在运行复杂的网络钓鱼和网络注入活动,以传播一种名为 MonsterV2 的现成恶意软件家族。
目录
TA585——拥有完整杀伤链的运营商
TA585 之所以引人注目,是因为它似乎能够端到端地控制其整个攻击链。TA585 并非购买分发渠道、从初始访问代理处租赁访问权限或依赖第三方流量服务,而是自行管理基础设施、交付机制和安装工具。分析师认为该集群非常复杂:攻击者使用 Web 注入、过滤和环境检查以及多种交付技术来最大限度地提高成功率并规避分析。
网络钓鱼、ClickFix 和 IRS 主题诱饵——社会工程学剧本
早期的攻击活动依赖于以美国国税局 (IRS) 为主题的经典网络钓鱼诱饵。目标收到指向虚假 URL 的消息,这些 URL 会打开一个 PDF 文件;该 PDF 文件包含一个使用 ClickFix 社会工程学策略的网页链接。ClickFix 会诱骗受害者通过 Windows 的“运行”对话框或 PowerShell 终端运行命令,然后执行后续的 PowerShell 脚本来拉取和部署 MonsterV2。
Web 注入和伪造 CAPTCHA 覆盖
在2025年4月出现的后续攻击浪潮中,TA585 转向通过恶意 JavaScript 注入攻击合法网站。这些注入会生成伪造的 CAPTCHA 验证覆盖层,再次触发 ClickFix 流程,最终启动 PowerShell 命令下载并启动恶意软件。JavaScript 注入和相关基础设施(尤其是 intlspring.com)也与其他窃取工具(包括 Rhadamanthys Stealer)的传播有关。
GitHub 滥用和虚假安全通知
第三组 TA585 攻击活动滥用了 GitHub 的通知机制:攻击者在虚假的“安全”通知中标记了 GitHub 用户,其中包含将受害者引导至攻击者控制的网站的 URL。这些虚假的 GitHub 警报是另一种用于将受害者引入同一 ClickFix/PowerShell 攻击链的媒介。
CoreSecThree 框架——交付主干
Web 注入和伪造 GitHub 活动集群与 CoreSecThree 相关联,研究人员认为该框架非常“复杂”,自 2022 年 2 月开始使用。CoreSecThree 一直被用于在多个活动中传播窃取恶意软件。
MonsterV2——起源与变体
MonsterV2 是一种多用途威胁:远程访问木马 (RAT)、窃取程序和加载程序。研究人员于 2025 年 2 月首次在犯罪论坛上发现该恶意软件的广告。它也被称为“Aurotun Stealer”(拼写错误,为“autorun”),此前曾通过 CastleLoader(也称为 CastleBot)进行传播。TA585 活动的早期版本曾传播过 Lumma Stealer,之后于 2025 年初转向 MonsterV2。
商业模式和地理围栏
MonsterV2 由一家讲俄语的运营商销售。在犯罪市场上观察到的定价为:标准版每月 800 美元,企业版每月 2,000 美元。企业版包含窃取程序 + 加载程序、隐藏 VNC (HVNC) 和 Chrome DevTools 协议 (CDP) 支持。窃取程序组件经过配置,可避免感染独联体 (CIS) 国家。
打包、反分析和运行时行为
MonsterV2 通常使用名为 SonicCrypt 的 C++ 加密程序进行加壳。SonicCrypt 在解密和加载有效载荷之前提供分层反分析检查,从而实现检测规避。在运行时,有效载荷会解密、解析所需的 Windows API 函数,并尝试提升权限。然后,它会解码嵌入的配置,该配置指示它如何联系命令与控制中心 (C2) 以及采取哪些操作。
MonsterV2 使用的配置标志包括:
- anti_dbg — 当为 True 时,恶意软件会尝试检测并逃避调试器。
- anti_sandbox — 当为 True 时,恶意软件会尝试沙盒检测并使用基本的反沙盒技术。
- aurotun — 当为 True 时,恶意软件会尝试建立持久性(拼写错误是“Aurotun”名称的来源)。
- priviledge_escalation — 当为 True 时,恶意软件会尝试提升主机上的权限。
网络和 C2 行为
如果 MonsterV2 成功到达其 C2 服务器,它会首先通过查询公共服务(研究人员观察到的对 api.ipify.org 的请求)发送基本的系统遥测和地理位置信息。C2 服务器的响应包含需要执行的命令。在一些观察到的操作中,MonsterV2 投放的有效载荷被配置为与其他有效载荷(例如 StealC)使用相同的 C2 服务器,尽管这些其他攻击活动并非直接归因于 TA585。
MonsterV2 的记录功能包括:
缓解和检测指南
防御者应将 TA585 视为一个功能强大的垂直整合运营商,其融合了社会工程、站点入侵和分层反分析技术。检测机会包括:监控源自 Web 流量的可疑 PowerShell/Run 对话框活动、识别合法站点上的异常 JavaScript 注入、通过行为检测阻止已知的 SonicCrypt 加壳二进制文件,以及标记意外的 HVNC/远程控制连接和文件泄露模式。监控与异常 C2 主机的通信以及对公共 IP 发现服务(例如 api.ipify.org)的查询,并结合出站数据传输,也可能发现感染。
概括
TA585 代表着一个极具韧性的威胁行为者,其能够控制分发、交付和有效载荷的运行。通过结合网络钓鱼、站点级 JavaScript 注入、伪造的验证码覆盖以及商业 MonsterV2 有效载荷(使用 SonicCrypt 打包),该行为者构建了一套可靠的多向量数据窃取和远程控制能力。鉴于该行为者的运营成熟度以及 MonsterV2 的模块化功能集,组织应优先检测 Web 驱动的命令启动、PowerShell 下载执行链、使用 SonicCrypt 打包的二进制文件以及可疑的 HVNC 或数据泄露活动。
