Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ về một tác nhân đe dọa chưa từng được ghi nhận trước đây có tên TA585, nhóm này đã bị phát hiện phát tán mã độc thương mại MonsterV2 thông qua các chiến dịch lừa đảo (phishing campaigns).
Nhóm nghiên cứu đe dọa Proofpoint mô tả cụm hoạt động đe dọa này là tinh vi, tận dụng các kỹ thuật tiêm mã web (web injections) và kiểm tra lọc (filtering checks) như một phần trong chuỗi tấn công của chúng.
"TA585 đáng chú ý vì dường như nhóm này tự kiểm soát toàn bộ chuỗi tấn công của mình với nhiều kỹ thuật phân phối," các nhà nghiên cứu Kyle Cucci, Tommy Madjar và Selena Larson cho biết. "Thay vì lợi dụng các tác nhân đe dọa khác – như trả tiền để phân phối, mua quyền truy cập từ các nhà môi giới truy cập ban đầu (initial access brokers), hoặc sử dụng hệ thống phân phối lưu lượng của bên thứ ba – TA585 tự quản lý cơ sở hạ tầng, phân phối và cài đặt mã độc của riêng mình."
MonsterV2 là một RAT (remote access trojan), stealer và loader, được Proofpoint lần đầu tiên phát hiện quảng cáo trên các diễn đàn tội phạm vào tháng 2 năm 2025. Đáng chú ý là MonsterV2 còn được gọi là Aurotun Stealer (một lỗi chính tả của "autorun") và trước đây đã được phân phối thông qua CastleLoader (hay còn gọi là CastleBot).
Các chiến dịch Phishing và Kỹ thuật lây nhiễm
Các chiến dịch lừa đảo phân phối mã độc này đã được quan sát sử dụng mồi nhử theo chủ đề của Cục Thuế Vụ Hoa Kỳ (IRS) để lừa người dùng nhấp vào các URL giả mạo dẫn đến một tệp PDF, tệp này sau đó liên kết đến một trang web sử dụng chiến thuật kỹ thuật xã hội ClickFix để kích hoạt lây nhiễm bằng cách chạy một lệnh độc hại trong hộp thoại Run của Windows hoặc thiết bị đầu cuối PowerShell. Lệnh PowerShell này được thiết kế để thực thi một script PowerShell giai đoạn tiếp theo nhằm triển khai MonsterV2.
Các đợt tấn công tiếp theo được phát hiện vào tháng 4 năm 2025 đã sử dụng các JavaScript injections độc hại trên các trang web hợp pháp, hiển thị các lớp phủ xác minh CAPTCHA giả mạo để khởi động cuộc tấn công thông qua ClickFix, cuối cùng dẫn đến việc phân phối mã độc thông qua một lệnh PowerShell.
Các phiên bản ban đầu của chiến dịch này đã phân phối Lumma Stealer, trước khi TA585 chuyển sang MonsterV2 vào đầu năm 2025. Điều thú vị là, JavaScript inject và cơ sở hạ tầng liên quan (intlspring[.]com) cũng đã được liên kết với việc phân phối Rhadamanthys Stealer.
Một loạt chiến dịch thứ ba do TA585 thực hiện đã sử dụng các thông báo email từ GitHub được kích hoạt khi gắn thẻ người dùng GitHub trong các thông báo bảo mật giả mạo có chứa các URL dẫn đến các trang web do tác nhân kiểm soát.
Cả hai cụm hoạt động – xoay quanh các web injects và cảnh báo GitHub giả mạo – đều có liên quan đến CoreSecThree, mà theo PRODAFT, là một "khung công việc tinh vi" được biết là đã hoạt động từ tháng 2 năm 2022 và đã được sử dụng "nhất quán" để phát tán mã độc stealer.
Đặc điểm của mã độc MonsterV2
MonsterV2 là một mã độc đầy đủ tính năng có thể đánh cắp dữ liệu nhạy cảm, hoạt động như một clipper bằng cách thay thế các địa chỉ tiền điện tử trong bảng tạm của hệ thống bị nhiễm bằng các địa chỉ ví do tác nhân đe dọa cung cấp, thiết lập quyền kiểm soát từ xa bằng Hidden Virtual Network Computing (HVNC), nhận và thực thi các lệnh từ một máy chủ bên ngoài, và tải xuống các payload bổ sung.
Mã độc này được bán bởi một tác nhân nói tiếng Nga với giá 800 USD mỗi tháng cho phiên bản "Standard", trong khi phiên bản "Enterprise", đi kèm với stealer, loader, HVNC và hỗ trợ Chrome DevTools Protocol (CDP), có giá 2.000 USD mỗi tháng. Một khía cạnh đáng chú ý của stealer này là nó tránh lây nhiễm các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS).
MonsterV2 thường được đóng gói bằng một C++ crypter có tên SonicCrypt, từ đó cho phép nó né tránh việc bị phát hiện bằng cách chạy một loạt các kiểm tra chống phân tích trước khi giải mã và tải payload.
Cấu hình và chức năng C2
Sau khi khởi chạy, mã độc giải mã và phân giải các hàm Windows API quan trọng cho hoạt động của nó, ngoài ra còn nâng cao đặc quyền của nó. Sau đó, nó tiến hành giải mã cấu hình nhúng để kết nối với máy chủ C2 (command-and-control), cũng như xác định hành động tiếp theo dựa trên các tham số đã thiết lập:
- anti_dbg: nếu được đặt thành True, mã độc cố gắng phát hiện và né tránh các trình gỡ lỗi đang được sử dụng.
- anti_sandbox: nếu được đặt thành True, mã độc cố gắng phát hiện các sandbox và thực hiện một số kỹ thuật chống sandbox cơ bản.
- aurotun: (chính lỗi chính tả này đã đặt tên cho nó là Aurotun Stealer), nếu được đặt thành True, mã độc cố gắng thiết lập tính bền bỉ trên máy chủ.
- priviledge_escalation: nếu được đặt thành True, mã độc cố gắng nâng cao đặc quyền của nó.
Nếu mã độc kết nối thành công với máy chủ C2, nó sẽ gửi thông tin hệ thống cơ bản và vị trí địa lý của hệ thống bằng cách gửi yêu cầu đến "api.ipify[.]org". Phản hồi từ máy chủ chứa lệnh sẽ được thực thi trên máy chủ. Một số tính năng được hỗ trợ được liệt kê dưới đây:
- Thực thi chức năng infostealer và rút trích dữ liệu ra máy chủ.
- Thực thi một lệnh tùy ý qua cmd.exe hoặc PowerShell.
- Chấm dứt, tạm dừng và tiếp tục các tiến trình mục tiêu.
- Thiết lập kết nối HVNC đến hệ thống bị nhiễm.
- Chụp ảnh màn hình máy tính.
- Khởi động một keylogger.
- Liệt kê, thao tác, sao chép và rút trích các tệp.
- Tắt hoặc làm sập hệ thống.
- Tải xuống và thực thi các payload giai đoạn tiếp theo như StealC, Remcos RAT.
Proofpoint cho biết: "Hoạt động này không liên quan đến TA585. Tuy nhiên, đáng chú ý là với StealC, các payload của MonsterV2 được cấu hình để sử dụng cùng máy chủ C2 với payload StealC được thả. TA585 là một tác nhân đe dọa độc đáo với khả năng nâng cao về nhắm mục tiêu và phân phối. Khi bối cảnh đe dọa tội phạm mạng không ngừng thay đổi, TA585 đã áp dụng các chiến lược hiệu quả để lọc, phân phối và cài đặt mã độc."
