پژوهشگران امنیتی جزئیات یک گروه تهدید تازهقلمرو با شناسهی TA585 را منتشر کردهاند که از کمپینهای فیشینگ برای توزیع بدافزار تمامعیار MonsterV2 استفاده میکند. تیم تحقیقاتی Proofpoint میگوید TA585 ساختار حملهاش را کاملاً در اختیار دارد و زیرساخت، کانال پخش و نصب بدافزار را خودش مدیریت میکند — نه اینکه از توزیعکنندگان یا سرویسهای ثالث استفاده کند.
خلاصهٔ خبر
TA585 یک گروه تهدید است که زنجیرهٔ حملهٔ کامل را خودش راه میاندازد: از ارسال فیشینگ و web-inject تا میزبانی و نصب بدافزار.
MonsterV2 (همچنین با نام Aurotun Stealer در برخی منابع شناخته میشود) یک RAT/stealer/loader چندمنظوره است که قابلیتهایی از قبیل سرقت داده، clipper (تبدیل آدرسهای کیف پول در clipboard)، HVNC، اجرای دستورات و دانلود payload ثانویه را داراست.
توزیع اغلب با طعمههای مالیاتی (IRS-themed) و ترفند ClickFix انجام میشود؛ همچنین از تزریق جاوااسکریپت به سایتهای قانونی و نوتیفیکیشنهای جعلی GitHub نیز استفاده شده است.
زنجیرهٔ نفوذ و روشهای توزیع
TA585 از چندین روش توزیع بهره میبرد:
ایمیل فیشینگ با تم IRS — لینکها کاربران را به یک PDF جعلی میبرند که صفحهای دارد که با ترفند ClickFix (social engineering) کاربر را قانع میکند در Run dialog یا PowerShell دستور مخرب را اجرا کند؛ آن دستور PowerShell مرحلهی بعدی را میکشاند که MonsterV2 را نصب میکند.
تزریق جاوااسکریپت (web inject) در سایتهای واقعی — صفحهٔ معتبر با یک CAPTCHA جعلی پوشانده میشود؛ وقتی کاربر تعامل میکند، فرمان مخرب اجرا و بدافزار تحویل داده میشود.
نوتیفیکیشنهای جعلی GitHub — ارسال اعلانهای ساختگی که با تگ زدن کاربران یا هشدارهای امنیتی در GitHub آنها را به لینکهای تحت کنترل مهاجمان هدایت میکند.
Proofpoint اشاره میکند زیرساخت تزریق (مثلاً دامنه intlspring[.]com) قبلاً با توزیع دیگر بدافزارها مثل Rhadamanthys Stealer و Lumma Stealer مرتبط بوده است.
قابلیتهای فنی MonsterV2
MonsterV2 یک بستهٔ کامل و تجاری است که بهعنوان RAT و stealer فروخته میشود. برخی از قابلیتهای برجسته آن عبارتاند از:
Stealer: جمعآوری و استخراج اطلاعات حساس از سیستمها
Clipper: جایگزینی آدرسهای کیف پول در clipboard با آدرس مهاجم برای سرقت تراکنشها
HVNC (Hidden VNC): برقراری کنترل از راه دور پنهانشده روی میزبان
اجرای دستورات از راه دور: دریافت و اجرای دستورات از سرور C2
دانلود و اجرای payloads ثانویه مانند StealC و Remcos RAT
قابلیتهای مدیریتی: terminate/suspend/resume پروسسها، گرفتن اسکرینشات، فعالسازی keylogger، enumerate و exfiltrate فایلها، و حتی کرش یا shutdown سیستم
MonsterV2 معمولاً با استفاده از یک crypter سیپلاسپلاس بهنام SonicCrypt بستهبندی (packed) میشود که پیش از بارگذاری payload مجموعهای از بررسیهای anti-analysis را اجرا میکند.
پیکربندی و رفتارهای شرطی
پس از اجرا، بدافزار تنظیمات (configuration) جاسازیشده را رمزگشایی میکند و بر اساس پارامترها رفتار خود را تنظیم میکند، از جمله:
anti_dbg— تشخیص و اجتناب از دیباگرهاanti_sandbox— تشخیص محیطهای sandbox و اجتناب از اجرا در آنهاaurotun(اشتباه املایی که نام Aurotun را میسازد) — فعالسازی persistence روی میزبانpriviledge_escalation— تلاش برای افزایش امتیازات (privilege escalation)
وقتی ارتباط با C2 برقرار شد، بدافزار اطلاعات پایهٔ سیستم و موقعیت جغرافیایی را (مثلاً از طریق api.ipify[.]org) میفرستد و سپس دستورات سرور را اجرا میکند.
جنبهٔ تجاری و هدفگیری
MonsterV2 بهصورت تجاری توسط یک بازیگر روسیزبان عرضه میشود: نسخهٔ “Standard” حدود ۸۰۰ دلار در ماه و نسخهٔ “Enterprise” (با قابلیتهای گستردهتر مانند CDP support و HVNC) حدود ۲,۰۰۰ دلار در ماه فروخته میشود. جالب اینکه stealerها معمولاً از آلودهسازی کشورهای CIS اجتناب میکنند (محدودیت هدفگیری جغرافیایی).
نتیجهگیری Proofpoint
Proofpoint میگوید TA585 یک عامل تهدید یکتا و پیشرفته است که با تسلط بر کل زنجیرهٔ حمله، از تکنیکهای مؤثر فیلترینگ، تزریق و تحویل بدافزار بهره میبرد. این گروه نشان داده که میتواند بهسرعت روشها را تغییر داده و ابزارهای متفاوتی را برای توزیع و نصب بهکار گیرد.
توصیههای دفاعی (خلاصه و عملی)
برای کاهش خطر و مقابله با حملات TA585 و بدافزارهای مشابه، اقدامات زیر توصیه میشود:
آموزش کارمندان دربارهٔ فیشینگ مخصوصاً ایمیلهای templatized (مثل IRS) و لینکهای PDF/ClickFix.
مسدودسازی اجرای دستورات ناشناس: جلوگیری از اجرای دستورات PowerShell از منابع نامطمئن، و log/alert برای فرمانهای Run/PowerShell غیرمعمول.
نظارت بر تزریق JS و رفتار سایتها: کنترل و مانیتور وباپها برای کشف تغییرات یا تزریق جاوااسکریپت.
EDR/AV پیشرفته: استفاده از مکانیزمهایی که رفتارهای unpacking، DLL injection، و اجرای SonicCrypt-like payloads را شناسایی کنند.
محدودیت امتیازات و least privilege: جلوگیری از escalation با تنظیم دقیق دسترسیها.
کوچکسازی سطح حمله: اعمال سیاستهای سختگیرانه برای دانلود/اجرا از منابع خارجی و بررسی فایلهای LNK و اسکریپتها.
تهیهٔ بکاپ و برنامهٔ پاسخ به حادثه: چون بدافزار قابلیت دانلود ransomware یا payloadهای تخریبی را دارد، وجود نسخهٔ پشتیبان و playbook پاسخ ضروری است.
جمعبندی
TA585 نمونهای از بازیگران تهدیدی است که از مدل «مالکیت کامل زنجیرهٔ حمله» بهره میبرد: از توسعهٔ زیرساخت توزیع و تزریق تا فروش مستقیم بدافزار آماده. MonsterV2 با تلفیق قابلیتهای stealer، clipper، HVNC و loader، تهدیدی چندوجهی و قدرتمند است که میتواند دسترسی دائمی و کنترل کامل روی میزبانهای سازمانی فراهم کند. دفاع مؤثر در برابر چنین عملیاتهایی نیازمند ترکیب آموزش انسانی، محدودسازی اجرای اسکریپتها، مانیتورینگ ترافیک و راهکارهای تشخیص رفتاری است.
