point已识别出一个新型且高度自主的网络犯罪威胁行为者TA585,其在当今网络犯罪经济中展现出异常独立的运作模式。与大多数依赖初始访问中介或第三方分发服务的恶意软件传播者不同,TA585控制攻击链的每个阶段——从基础设施搭建、载荷投递到最终部署。
Proofpoint于2025年2月首次检测到TA585的活动,当时该组织使用美国国税局(IRS)主题的钓鱼邮件,内含指向恶意PDF的链接。这些文档将受害者重定向至受攻陷网站,该网站通过ClickFix技术显示伪造的验证页面。
受害者被诱导通过Windows“运行”对话框手动执行PowerShell命令,在不知情中启动MonsterV2的下载。
“邮件包含指向PDF的URL,PDF在浏览器中打开后会链接到使用ClickFix技术的网页,诱骗访问者在Windows‘运行’框或PowerShell终端中手动运行恶意命令。”
2025年3月的后续活动中,TA585同时仿冒IRS和美国小企业管理局(SBA),主要针对金融和会计公司,每波发送不到200封钓鱼邮件。
到2025年4月,Proofpoint观察到TA585已演变为完全自主的攻击者。该组织注册并维护自己的恶意基础设施(被研究人员命名为CoreSecThree),托管网页注入脚本和过滤系统,确保仅向人类目标投递载荷。
“TA585的活动通常通过受攻陷网站分发……这些网站被注入恶意JavaScript,加载恶意脚本后会在今年的活动中创建网站覆盖层,显示伪造的验证码(ClickFix),诱导用户验证‘人机身份’。”
这种伪造验证码覆盖层是一种智能规避手段:用户若遵循提示操作,PowerShell命令将触发恶意软件下载。执行后,受感染系统会被验证并重定向至合法网页,从而最大限度降低怀疑。
除网页注入外,TA585还尝试滥用GitHub通知以针对开发者和技术人员。在这些活动中,攻击者创建伪造GitHub议题并标记合法用户,触发包含恶意短链接的自动GitHub邮件。
这些URL指向攻击者控制的网站,托管伪造的GitHub品牌验证页面,使用与CoreSecThree相同的过滤和信标技术,最终下载Rhadamanthys或MonsterV2恶意软件。
TA585活动的核心是MonsterV2——一款功能丰富的远程访问木马(RAT)、窃取器和加载器,2025年2月首次在网络犯罪论坛上出售。
Proofpoint研究人员描述:“MonsterV2被宣传为远程访问木马(RAT)、窃取器和加载器……与同类恶意软件相比价格昂贵,仅被包括TA585在内的少数行为者使用。”
该恶意软件采用C++、Go和TypeScript编写,架构先进,内置RAII包装器、线程安全机制,以及用于配置和C2通信的ChaCha20加密。其功能包括:
- 凭证、浏览器和加密货币钱包窃取
- 剪贴板劫持(替换加密货币地址)
- 隐藏虚拟网络计算(HVNC)实现 stealth 远程控制
- 通过PowerShell或CMD执行命令
- 屏幕录制、摄像头访问和键盘记录
Proofpoint指出:“MonsterV2集成了RAT、加载器和窃取器的功能……会避免感染独立国家联合体(CIS)国家的计算机。”
地下论坛的定价反映了其高端定位:“标准版”每月800美元,“企业版”(含完整HVNC、加载器和窃取器模块)每月2,000美元。
恶意软件使用名为SonicCrypt的自定义加密器进行混淆,Proofpoint称其为“现代技术加密工具,功能丰富,清理迅速,支持专业”。
MonsterV2采用ChaCha20加密保护配置和C2通信:
“配置通过ChaCha20解密……恶意软件读取配置前的32字节作为密钥材料,与硬编码主密钥结合后解密配置。”
连接C2服务器后,恶意软件会传输详细的系统元数据(包括OS版本、地理位置、用户名和外部IP),然后等待进一步指令。
C2可下发多种命令,从数据渗出、进程操纵到创建HVNC会话和勒索软件式关机。
发表评论
您还未登录,请先登录。
登录