MonsterV2 惡意軟體
網路安全研究人員最近揭露了一個先前未記錄的威脅行為者,追蹤編號為 TA585,該行為者一直在運行複雜的網路釣魚和網路注入活動,以傳播一種名為 MonsterV2 的現成惡意軟體家族。
目錄
TA585-擁有完整殺傷鏈的營運商
TA585 之所以引人注目,是因為它似乎能夠端到端地控制其整個攻擊鏈。 TA585 並非購買分發管道、從初始存取代理租賃存取權限或依賴第三方流量服務,而是自行管理基礎架構、交付機制和安裝工具。分析師認為該叢集非常複雜:攻擊者使用 Web 注入、過濾和環境檢查以及多種交付技術來最大限度地提高成功率並規避分析。
網路釣魚、ClickFix 和 IRS 主題誘餌——社會工程學劇本——社會工程學劇本
早期的攻擊活動依賴以美國國稅局 (IRS) 為主題的經典網路釣魚誘餌。目標收到指向虛假 URL 的訊息,這些 URL 會開啟一個 PDF 檔案;該 PDF 檔案包含一個使用 ClickFix 社會工程策略的網頁連結。 ClickFix 會誘騙受害者透過 Windows 的「執行」對話方塊或 PowerShell 終端機執行命令,然後執行後續的 PowerShell 腳本來拉取並部署 MonsterV2。
Web 注入和偽造 CAPTCHA 覆蓋
在2025年4月出現的後續攻擊浪潮中,TA585 轉向透過惡意 JavaScript 注入攻擊合法網站。這些注入會產生偽造的 CAPTCHA 驗證覆蓋層,再次觸發 ClickFix 流程,最終啟動 PowerShell 命令下載並啟動惡意軟體。 JavaScript 注入和相關基礎設施(尤其是 intlspring.com)也與其他竊取工具(包括 Rhadamanthys Stealer)的傳播有關。
GitHub 濫用和虛假安全通知
第三組 TA585 攻擊活動濫用了 GitHub 的通知機制:攻擊者在虛假的「安全」通知中標記了 GitHub 用戶,其中包含將受害者引導至攻擊者控制的網站的 URL。這些虛假的 GitHub 警報是另一種用於將受害者引入相同 ClickFix/PowerShell 攻擊鏈的媒介。
CoreSecThree 框架-交付主幹
Web 注入和偽造 GitHub 活動群集與 CoreSecThree 相關聯,研究人員認為該框架非常“複雜”,自 2022 年 2 月開始使用。 CoreSecThree 一直被用於在多個活動中傳播竊取惡意軟體。
MonsterV2-起源與變體
MonsterV2 是一種多用途威脅:遠端存取木馬 (RAT)、竊取程式和載入程式。研究人員於 2025 年 2 月首次在犯罪論壇上發現該惡意軟體的廣告。它也被稱為“Aurotun Stealer”(拼字錯誤,為“autorun”),此前曾透過 CastleLoader(也稱為 CastleBot)傳播。 TA585 活動的早期版本曾傳播過 Lumma Stealer,之後於 2025 年初轉向 MonsterV2。
商業模式和地理圍欄
MonsterV2 由一家講俄語的業者銷售。在犯罪市場上觀察到的定價為:標準版每月 800 美元,企業版每月 2,000 美元。企業版包含竊取程式 + 載入程式、隱藏 VNC (HVNC) 和 Chrome DevTools 協定 (CDP) 支援。竊取程式組件經過配置,可避免感染獨聯體 (CIS) 國家。
打包、反分析和運行時行為
MonsterV2 通常會使用名為 SonicCrypt 的 C++ 加密程式進行加殼。 SonicCrypt 在解密和載入有效載荷之前提供分層反分析檢查,從而實現檢測規避。在執行時,有效載荷會解密、解析所需的 Windows API 函數,並嘗試提升權限。然後,它會解碼嵌入的配置,該配置指示它如何聯絡命令與控制中心 (C2) 以及採取哪些操作。
MonsterV2 使用的配置標誌包括:
- anti_dbg — 當為 True 時,惡意軟體會嘗試偵測並逃避除錯器。
- anti_sandbox — 當為 True 時,惡意軟體會嘗試沙盒檢測並使用基本的反沙盒技術。
- aurotun — 當為 True 時,惡意軟體會嘗試建立持久性(拼字錯誤是「Aurotun」名稱的來源)。
- priviledge_escalation — 當為 True 時,惡意軟體會嘗試提升主機上的權限。
網路與 C2 行為
如果 MonsterV2 成功到達其 C2 伺服器,它會先透過查詢公共服務(研究人員觀察到的對 api.ipify.org 的請求)發送基本的系統遙測和地理位置資訊。 C2 伺服器的回應包含需要執行的命令。在一些觀察到的操作中,MonsterV2 投放的有效載荷被配置為與其他有效載荷(例如 StealC)使用相同的 C2 伺服器,儘管這些其他攻擊活動並非直接歸因於 TA585。
MonsterV2 的記錄功能包括:
緩解和檢測指南
防禦者應將 TA585 視為一個功能強大的垂直整合運營商,其融合了社會工程、站點入侵和分層反分析技術。檢測機會包括:監控源自 Web 流量的可疑 PowerShell/Run 對話框活動、識別合法站點上的異常 JavaScript 注入、透過行為檢測阻止已知的 SonicCrypt 加殼二進位文件,以及標記意外的 HVNC/遠端控制連接和文件洩露模式。監控與異常 C2 主機的通訊以及對公共 IP 發現服務(例如 api.ipify.org)的查詢,並結合出站資料傳輸,也可能發現感染。
概括
TA585 代表著一個極具韌性的威脅行為者,其能夠控制分發、交付和有效載荷的運作。透過結合網路釣魚、網站級 JavaScript 注入、偽造的驗證碼覆蓋以及商業 MonsterV2 有效載荷(使用 SonicCrypt 打包),該行為者構建了一套可靠的多向量資料竊取和遠端控制能力。鑑於該行為者的營運成熟度以及 MonsterV2 的模組化功能集,組織應優先檢測 Web 驅動的命令啟動、PowerShell 下載執行鏈、使用 SonicCrypt 打包的二進位檔案以及可疑的 HVNC 或資料外洩活動。
