Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir tehdit aktörüne ışık tuttu. TA585 adı verilen kullanıma hazır bir kötü amaçlı yazılımın yayıldığı gözlemlendi. CanavarV2 Kimlik avı kampanyaları aracılığıyla.
Proofpoint Tehdit Araştırma Ekibi, tehdit faaliyeti kümesini, saldırı zincirlerinin bir parçası olarak web enjeksiyonlarından ve filtreleme kontrollerinden yararlanan karmaşık bir küme olarak tanımladı.
Araştırmacılar Kyle Cucci, Tommy Madjar ve Selena Larson, “TA585, birden fazla dağıtım tekniğiyle tüm saldırı zincirine sahip gibi göründüğü için dikkat çekicidir” dedi. “Dağıtım için ödeme yapmak, ilk erişim aracılarından erişim satın almak veya üçüncü taraf trafik dağıtım sistemi kullanmak gibi diğer tehdit aktörlerinden yararlanmak yerine TA585, kendi altyapısını, dağıtımını ve kötü amaçlı yazılım kurulumunu yönetiyor.”
MonsterV2, Proofpoint’in ilk olarak Şubat 2025’te suç forumlarında reklamı yapıldığını gözlemlediği bir uzaktan erişim truva atı (RAT), hırsız ve yükleyicidir. MonsterV2’nin aynı zamanda Aurotun Stealer (“autorun” kelimesinin yanlış yazılışı) olarak da adlandırıldığını ve daha önce CastleLoader (diğer adıyla CastleBot) aracılığıyla dağıtıldığını belirtmekte fayda var.
Kötü amaçlı yazılımı dağıtan kimlik avı kampanyalarının, kullanıcıları bir PDF’ye yönlendiren sahte URL’leri tıklamaları için kandırmak amacıyla ABD Gelir İdaresi (IRS) temalı tuzaklar kullandığı gözlemlendi; bu URL’ler, Windows Çalıştır iletişim kutusunda veya PowerShell terminalinde kötü amaçlı bir komut çalıştırarak enfeksiyonu etkinleştirmek için ClickFix sosyal mühendislik taktiğini kullanan bir web sayfasına bağlantı veriyor. PowerShell komutu, MonsterV2’yi dağıtan bir sonraki aşama PowerShell betiğini yürütmek için tasarlanmıştır.
Nisan 2025’te tespit edilen sonraki saldırı dalgaları, saldırıyı ClickFix aracılığıyla başlatmak için sahte CAPTCHA doğrulama katmanları sunan meşru web sitelerine kötü amaçlı JavaScript enjeksiyonlarına başvurdu ve sonuçta kötü amaçlı yazılımın bir PowerShell komutu aracılığıyla dağıtılmasına yol açtı.
Bu kampanyanın ilk yinelemeleri, TA585’in 2025’in başlarında MonsterV2’ye geçmesinden önce Lumma Stealer’ı dağıttı. İlginç bir şekilde, JavaScript enjeksiyonu ve ilgili altyapı (intlspring)[.]com) aynı zamanda Rhadamanthys Stealer’ın dağıtımıyla da bağlantılıdır.
TA585 tarafından yürütülen üçüncü bir kampanya grubu, GitHub kullanıcılarının, aktörlerin kontrolündeki web sitelerine yönlendiren URL’ler içeren sahte güvenlik bildirimlerinde etiketlenmesi sırasında tetiklenen GitHub’dan gelen e-posta bildirimlerinden yararlandı.
Web enjeksiyonları ve sahte GitHub uyarıları etrafında dönen etkinlik kümelerinin her ikisi de, PRODAFT’a göre Şubat 2022’den bu yana aktif olduğu bilinen ve “tutarlı bir şekilde” hırsız kötü amaçlı yazılımları yaymak için kullanılan “karmaşık bir çerçeve” olan CoreSecThree ile ilişkilendirildi.
MonsterV2, hassas verileri çalabilen, virüslü sistemlerin panosundaki kripto para birimi adreslerini tehdit aktörü tarafından sağlanan cüzdan adresleriyle değiştirerek kırpıcı görevi görebilen, Gizli Sanal Ağ Bilgi İşlem (HVNC) kullanarak uzaktan kontrol kurabilen, harici bir sunucudan komutlar alıp yürütebilen ve ek yükler indirebilen tam özellikli bir kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, Rusça konuşan bir aktör tarafından “Standart” sürüm için ayda 800 ABD dolarına satılıyor; hırsız, yükleyici, HVNC ve Chrome DevTools Protokolü (CDP) desteğiyle birlikte gelen “Enterprise” sürümü ise aylık 2.000 ABD dolarına mal oluyor. Hırsızın dikkate değer bir yönü, Bağımsız Devletler Topluluğu (BDT) ülkelerine bulaşmayı önlemesidir.
MonsterV2 tipik olarak SonicCrypt adı verilen bir C++ şifreleyici kullanılarak paketlenir, böylece yükün şifresini çözmeden ve yüklemeden önce bir dizi anti-analiz kontrolü çalıştırarak tespitten kaçmasına olanak tanır.
Kötü amaçlı yazılım, başlatıldığında ayrıcalıklarını yükseltmenin yanı sıra, işleyişi için hayati önem taşıyan Windows API işlevlerinin şifresini çözer ve çözer. Daha sonra, komut ve kontrol (C2) sunucusuna bağlanmak için gömülü konfigürasyonun kodunu çözmeye ve ayarlanan parametrelere dayalı olarak bir sonraki eylem planını belirlemeye devam eder –
- anti_dbg, True olarak ayarlanırsa, kötü amaçlı yazılım kullanımdaki hata ayıklayıcıları tespit etmeye ve bunlardan kaçmaya çalışır
- anti_sandbox, True olarak ayarlanırsa kötü amaçlı yazılım, korumalı alanları tespit etmeye ve bazı temel korumalı alan önleme tekniklerini uygulamaya çalışır
- aurotun (ona Aurotun Stealer adını veren de bu yanlış yazımdır), True olarak ayarlanırsa, kötü amaçlı yazılım ana bilgisayarda kalıcılık oluşturmaya çalışır
- priviledge_escalation, True olarak ayarlanırsa kötü amaçlı yazılım ayrıcalıklarını yükseltmeye çalışır
Kötü amaçlı yazılım C2 sunucusuyla başarılı bir şekilde bağlantı kurarsa “api.ipify” adresine bir istek göndererek temel sistem bilgilerini ve sistemin coğrafi konumunu gönderir.[.]org.” Sunucudan gelen yanıt, ana bilgisayarda yürütülecek komutu içerir. Desteklenen özelliklerden bazıları aşağıda listelenmiştir –
- Bilgi hırsızlığı işlevini yürütün ve verileri sunucuya sızdırın
- Cmd.exe veya PowerShell aracılığıyla isteğe bağlı bir komut yürütün
- Hedef süreçleri sonlandırın, askıya alın ve devam ettirin
- Etkilenen sistemle bir HVNC bağlantısı kurun
- Masaüstünün ekran görüntülerini alın
- Bir keylogger başlatın
- Dosyaları numaralandırın, değiştirin, kopyalayın ve dışarı çıkarın
- Sistemi kapatın veya çökertin
- StealC, Remcos RAT gibi sonraki aşama yüklerini indirin ve çalıştırın
Proofpoint, “Ancak bu etkinlik TA585 ile ilişkili değildi. Özellikle StealC ile MonsterV2 yükleri, bırakılan StealC yüküyle aynı C2 sunucusunu kullanacak şekilde yapılandırıldı” dedi. “TA585, gelişmiş hedefleme ve dağıtım yeteneklerine sahip benzersiz bir tehdit aktörüdür. Siber suç tehdit ortamı sürekli değişirken TA585, filtreleme, dağıtım ve kötü amaçlı yazılım kurulumu için etkili stratejiler benimsemiştir.”