Khả năng của phần mềm độc hại MonsterV2 và chuỗi tấn công của tin tặc TA585
Ngày 13/10, báo cáo của công ty an ninh mạng Proofpoint cho biết, một tác nhân đe dọa chưa từng được ghi nhận trước đây có tên là TA585, được phát hiện đang phát tán phần mềm độc hại MonsterV2 thông qua các chiến dịch lừa đảo.
Các nhà nghiên cứu mô tả hoạt động của TA585 khá tinh vi, tận dụng việc chèn mã độc vào web và kiểm tra bộ lọc như một phần trong chuỗi tấn công.
“TA585 có khả năng thực hiện chuỗi tấn công bằng nhiều kỹ thuật phân phối khác nhau. Thay vì phải mua quyền truy cập hoặc sử dụng hệ thống phân phối lưu lượng của bên thứ ba, các tin tặc TA585 tự quản lý cơ sở hạ tầng, phân phối và cài đặt phần mềm độc hại”, các nhà nghiên cứu Kyle Cucci, Tommy Madjar và Selena Larson cho biết.
MonsterV2 là một Trojan truy cập từ xa (RAT) đánh cắp thông tin và từng được Proofpoint phát hiện lần đầu tiên trên các diễn đàn tội phạm vào tháng 02/2025. Điều đáng chú ý là MonsterV2 còn được gọi là Aurotun Stealer (viết sai chính tả của “autorun”) và trước đây đã được phân phối thông qua CastleLoader (hay còn gọi là CastleBot).
Các chiến dịch lừa đảo phân phối phần mềm độc hại được thực hiện bằng cách đánh lừa nạn nhân nhấp vào các URL giả mạo dẫn đến tệp PDF, sau đó liên kết đến một trang web sử dụng chiến thuật kỹ nghệ xã hội ClickFix, để kích hoạt mã độc bằng cách chạy lệnh độc hại trong hộp thoại Run của Windows hoặc thiết bị đầu cuối PowerShell. Lệnh PowerShell được thiết kế để thực thi tập lệnh độc hại giai đoạn tiếp theo nhằm phát tán MonsterV2.
Các đợt tấn công tiếp theo được phát hiện vào tháng 4/2025, các tin tặc sử dụng mã độc JavaScript trên các trang web hợp pháp có lớp phủ xác minh CAPTCHA giả mạo, từ đó bắt đầu cuộc tấn công thông qua ClickFix, cuối cùng dẫn đến việc phát tán phần mềm độc hại thông qua lệnh PowerShell.
Các phiên bản đầu tiên của chiến dịch này đã phân phối Lumma Stealer, trước khi TA585 chuyển sang MonsterV2 vào đầu năm 2025. Điều thú vị là JavaScript inject và cơ sở hạ tầng liên quan (intlspring[.]com) cũng có liên quan đến việc phát tán Rhadamanthys Stealer.
Trong chiến dịch thứ ba, các tin tặc TA585 sử dụng thông báo qua email từ GitHub khi gắn thẻ người dùng trong các thông báo bảo mật giả mạo, có chứa URL truy cập các trang web do tác nhân kiểm soát. Các chiến dịch này xoay quanh các hoạt động chèn web và cảnh báo GitHub giả mạo - đều có liên quan đến CoreSecThree, hoạt động kể từ tháng 02/2022 và “liên tục” được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin.
MonsterV2 là phần mềm độc hại đầy đủ tính năng có thể đánh cắp dữ liệu nhạy cảm, nó có khả năng thay thế địa chỉ tiền điện tử trong clipboard của hệ thống bị nhiễm bằng địa chỉ ví do tác nhân đe dọa cung cấp, thiết lập điều khiển từ xa bằng Hidden Virtual Network Computing (HVNC), nhận và thực thi lệnh từ máy chủ bên ngoài và tải xuống các phần mềm bổ sung.
Mã độc này được một tin tặc nói tiếng Nga rao bán với giá 800 USD mỗi tháng cho phiên bản “Standard”, trong khi phiên bản “Enterprise” có giá 2.000 USD mỗi tháng. Một điểm đáng chú ý của phần mềm độc hại là nó tránh lây nhiễm sang các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS).
MonsterV2 thường được đóng gói bằng trình mã hóa C++ có tên là SonicCrypt, do đó cho phép nó tránh bị phát hiện bằng cách chạy một loạt các kiểm tra chống phân tích trước khi giải mã và payload. Sau khi được khởi chạy, phần mềm độc hại giải mã các hàm API Windows quan trọng cho hoạt động của nó, đồng thời leo thang đặc quyền. Sau đó, MonsterV2 tiếp tục giải mã cấu hình nhúng để kết nối với máy chủ điều khiển và ra lệnh (C2), cũng như xác định hành động tiếp theo dựa trên các tham số được thiết lập.
Nếu phần mềm độc hại kết nối thành công với máy chủ C2, nó sẽ gửi thông tin hệ thống cơ bản và vị trí địa lý của hệ thống bằng cách gửi yêu cầu đến “api[.]ipify[.]org”. Phản hồi từ máy chủ chứa lệnh cần thực thi trên máy chủ. Một số tính năng hỗ trợ bao gồm:
- Thực hiện chức năng đánh cắp thông tin và đưa dữ liệu ra máy chủ.
- Thực hiện lệnh tùy ý thông qua cmd[.]exe hoặc PowerShell.
- Chấm dứt, tạm dừng và tiếp tục các tiến trình mục tiêu.
- Thiết lập kết nối HVNC với hệ thống bị nhiễm.
- Chụp ảnh màn hình máy tính.
- Bắt đầu hoạt động keylogger.
- Liệt kê, thao tác, sao chép và trích xuất các tệp tin.
- Tắt hoặc làm sập hệ thống.
- Tải xuống và thực thi các payload giai đoạn tiếp theo như StealC, Remcos RAT.
TA585 là một tác nhân đe dọa với khả năng nhắm mục tiêu và phát tán mã độc tiên tiến. Trong bối cảnh mối đe dọa tội phạm mạng liên tục thay đổi, TA585 đã áp dụng các chiến lược hiệu quả để lọc, phát tán và cài đặt phần mềm độc hại.
“TA585 có khả năng thực hiện chuỗi tấn công bằng nhiều kỹ thuật phân phối khác nhau. Thay vì phải mua quyền truy cập hoặc sử dụng hệ thống phân phối lưu lượng của bên thứ ba, các tin tặc TA585 tự quản lý cơ sở hạ tầng, phân phối và cài đặt phần mềm độc hại”, các nhà nghiên cứu Kyle Cucci, Tommy Madjar và Selena Larson cho biết.
MonsterV2 là một Trojan truy cập từ xa (RAT) đánh cắp thông tin và từng được Proofpoint phát hiện lần đầu tiên trên các diễn đàn tội phạm vào tháng 02/2025. Điều đáng chú ý là MonsterV2 còn được gọi là Aurotun Stealer (viết sai chính tả của “autorun”) và trước đây đã được phân phối thông qua CastleLoader (hay còn gọi là CastleBot).
Các chiến dịch lừa đảo phân phối phần mềm độc hại được thực hiện bằng cách đánh lừa nạn nhân nhấp vào các URL giả mạo dẫn đến tệp PDF, sau đó liên kết đến một trang web sử dụng chiến thuật kỹ nghệ xã hội ClickFix, để kích hoạt mã độc bằng cách chạy lệnh độc hại trong hộp thoại Run của Windows hoặc thiết bị đầu cuối PowerShell. Lệnh PowerShell được thiết kế để thực thi tập lệnh độc hại giai đoạn tiếp theo nhằm phát tán MonsterV2.
Các đợt tấn công tiếp theo được phát hiện vào tháng 4/2025, các tin tặc sử dụng mã độc JavaScript trên các trang web hợp pháp có lớp phủ xác minh CAPTCHA giả mạo, từ đó bắt đầu cuộc tấn công thông qua ClickFix, cuối cùng dẫn đến việc phát tán phần mềm độc hại thông qua lệnh PowerShell.
Các phiên bản đầu tiên của chiến dịch này đã phân phối Lumma Stealer, trước khi TA585 chuyển sang MonsterV2 vào đầu năm 2025. Điều thú vị là JavaScript inject và cơ sở hạ tầng liên quan (intlspring[.]com) cũng có liên quan đến việc phát tán Rhadamanthys Stealer.
Trong chiến dịch thứ ba, các tin tặc TA585 sử dụng thông báo qua email từ GitHub khi gắn thẻ người dùng trong các thông báo bảo mật giả mạo, có chứa URL truy cập các trang web do tác nhân kiểm soát. Các chiến dịch này xoay quanh các hoạt động chèn web và cảnh báo GitHub giả mạo - đều có liên quan đến CoreSecThree, hoạt động kể từ tháng 02/2022 và “liên tục” được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin.
MonsterV2 là phần mềm độc hại đầy đủ tính năng có thể đánh cắp dữ liệu nhạy cảm, nó có khả năng thay thế địa chỉ tiền điện tử trong clipboard của hệ thống bị nhiễm bằng địa chỉ ví do tác nhân đe dọa cung cấp, thiết lập điều khiển từ xa bằng Hidden Virtual Network Computing (HVNC), nhận và thực thi lệnh từ máy chủ bên ngoài và tải xuống các phần mềm bổ sung.
Mã độc này được một tin tặc nói tiếng Nga rao bán với giá 800 USD mỗi tháng cho phiên bản “Standard”, trong khi phiên bản “Enterprise” có giá 2.000 USD mỗi tháng. Một điểm đáng chú ý của phần mềm độc hại là nó tránh lây nhiễm sang các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS).
MonsterV2 thường được đóng gói bằng trình mã hóa C++ có tên là SonicCrypt, do đó cho phép nó tránh bị phát hiện bằng cách chạy một loạt các kiểm tra chống phân tích trước khi giải mã và payload. Sau khi được khởi chạy, phần mềm độc hại giải mã các hàm API Windows quan trọng cho hoạt động của nó, đồng thời leo thang đặc quyền. Sau đó, MonsterV2 tiếp tục giải mã cấu hình nhúng để kết nối với máy chủ điều khiển và ra lệnh (C2), cũng như xác định hành động tiếp theo dựa trên các tham số được thiết lập.
Nếu phần mềm độc hại kết nối thành công với máy chủ C2, nó sẽ gửi thông tin hệ thống cơ bản và vị trí địa lý của hệ thống bằng cách gửi yêu cầu đến “api[.]ipify[.]org”. Phản hồi từ máy chủ chứa lệnh cần thực thi trên máy chủ. Một số tính năng hỗ trợ bao gồm:
- Thực hiện chức năng đánh cắp thông tin và đưa dữ liệu ra máy chủ.
- Thực hiện lệnh tùy ý thông qua cmd[.]exe hoặc PowerShell.
- Chấm dứt, tạm dừng và tiếp tục các tiến trình mục tiêu.
- Thiết lập kết nối HVNC với hệ thống bị nhiễm.
- Chụp ảnh màn hình máy tính.
- Bắt đầu hoạt động keylogger.
- Liệt kê, thao tác, sao chép và trích xuất các tệp tin.
- Tắt hoặc làm sập hệ thống.
- Tải xuống và thực thi các payload giai đoạn tiếp theo như StealC, Remcos RAT.
TA585 là một tác nhân đe dọa với khả năng nhắm mục tiêu và phát tán mã độc tiên tiến. Trong bối cảnh mối đe dọa tội phạm mạng liên tục thay đổi, TA585 đã áp dụng các chiến lược hiệu quả để lọc, phát tán và cài đặt phần mềm độc hại.
Tác giả: Hồng Đạt
Nguồn tin: Tạp chí An toàn thông tin
Tin đọc nhiều nhất
-
Đổi mới thể chế đưa Việt Nam trở thành quốc gia số
-
Cách tránh bị lừa đảo liên quan đến mã OTP
-
Nền kinh tế dữ liệu: Mở ra tương lai của việc tạo ra giá trị dựa trên thông tin
-
Vai trò của dư luận xã hội và báo chí truyền thông trong việc góp phần giải quyết các vấn đề xã hội
-
Bình dân học vụ số chìa khoá của kỷ nguyên số
-
5 cách phổ biến mà tin tặc sử dụng để tấn công tài khoản ngân hàng
-
Nghị quyết 57-NQ/TW: Định hướng để nhà khoa học bứt phá trong kỷ nguyên vươn mình
