Siber Güvenlik

Araştırmacılar, TA585’in MonsterV2 Kötü Amaçlı Yazılım Yeteneklerini ve Saldırı Zincirini Ortaya Çıkardı.

teknomers
teknomers

Siber Güvenlik Araştırmacıları, Yeni Bir Tehdit Aktörünü ve “MonsterV2” Kötü Amaçlı Yazılımını Ortaya Çıkardı

Siber güvenlik uzmanları, daha önce belgelenmemiş bir tehdit aktörü olan TA585’i ve bu aktörün kimlik avı kampanyaları aracılığıyla yaydığı “MonsterV2” adlı kötü amaçlı yazılımı ortaya çıkardı. Proofpoint Tehdit Araştırma Ekibi, bu tehdit aktivitesi kümesini sofistike olarak nitelendirerek, saldırı zincirlerinin bir parçası olarak web enjeksiyonları ve filtreleme kontrollerini kullandığını belirtti.

Contents

Araştırmacılar Kyle Cucci, Tommy Madjar ve Selena Larson, “TA585 dikkat çekici çünkü tüm saldırı zincirine sahip gibi görünüyor ve birden fazla dağıtım tekniği kullanıyor” dedi. “Diğer tehdit aktörlerinden faydalanmak yerine (dağıtım için ödeme yapmak, ilk erişim aracılarından erişim satın almak veya üçüncü taraf trafik dağıtım sistemi kullanmak gibi), TA585 kendi altyapısını, dağıtımını ve kötü amaçlı yazılım kurulumunu yönetiyor.”

MonsterV2, Proofpoint tarafından ilk olarak Şubat 2025’te suç forumlarında reklamı yapılırken gözlemlenen bir uzaktan erişim truva atı (RAT), bilgi hırsızı ve yükleyicidir. MonsterV2’nin aynı zamanda Aurotun Stealer (yazım hatasıyla “autorun”) olarak da adlandırıldığı ve daha önce CastleLoader (diğer adıyla CastleBot) aracılığıyla dağıtıldığı belirtilmelidir.

Kimlik Avı Kampanyaları ve Sosyal Mühendislik Taktikleri

Kötü amaçlı yazılımı dağıtan kimlik avı kampanyalarında, kullanıcıları sahte URL’lere tıklamaya yönlendirmek için ABD İç Gelir İdaresi (IRS) temalı yemler kullanıldığı gözlemlendi. Bu URL’ler, sırayla, Windows Çalıştır iletişim kutusunda veya PowerShell terminalinde kötü amaçlı bir komut çalıştırarak enfeksiyonu etkinleştirmek için ClickFix sosyal mühendislik taktiğini kullanan bir web sayfasına yönlendiren bir PDF’ye bağlanıyor. PowerShell komutu, MonsterV2’yi dağıtan bir sonraki aşama PowerShell komut dosyasını yürütmek üzere tasarlanmıştır.

Nisan 2025’te tespit edilen sonraki saldırı dalgaları, ClickFix aracılığıyla saldırıyı başlatmak için sahte CAPTCHA doğrulama katmanları sunan meşru web sitelerinde kötü amaçlı JavaScript enjeksiyonlarına başvurdu ve sonuçta PowerShell komutu aracılığıyla kötü amaçlı yazılımın dağıtımına yol açtı.

Bu kampanyanın ilk yinelemeleri Lumma Stealer’ı dağıttı, ancak TA585 2025’in başlarında MonsterV2’ye geçti. İlginç bir şekilde, JavaScript enjeksiyonu ve ilgili altyapı (intlspring[.]com) da Rhadamanthys Stealer’ın dağıtımıyla ilişkilendirildi.

GitHub Bildirimleri ve CoreSecThree Çerçevesi

TA585 tarafından gerçekleştirilen üçüncü bir kampanya seti, GitHub kullanıcılarını aktör kontrollü web sitelerine yönlendiren URL’ler içeren sahte güvenlik bildirimlerinde etiketlerken tetiklenen GitHub’dan gelen e-posta bildirimlerini kullandı.

Web enjeksiyonları ve sahte GitHub uyarıları etrafında dönen her iki aktivite kümesi de, PRODAFT’a göre Şubat 2022’den beri aktif olduğu bilinen ve “sürekli” olarak hırsızlık amaçlı kötü amaçlı yazılımları yaymak için kullanılan “sofistike bir çerçeve” olan CoreSecThree ile ilişkilendirildi.

MonsterV2’nin Özellikleri ve İşlevleri

MonsterV2, hassas verileri çalabilen, enfekte olmuş sistemlerin panosundaki kripto para birimi adreslerini tehdit aktörü tarafından sağlanan cüzdan adresleriyle değiştirerek kırpıcı görevi görebilen, Gizli Sanal Ağ Bilgisayarı (HVNC) kullanarak uzaktan kontrol sağlayabilen, harici bir sunucudan komut alıp yürütebilen ve ek yükler indirebilen tam özellikli bir kötü amaçlı yazılımdır.

Kötü amaçlı yazılım, Rusça konuşan bir aktör tarafından “Standart” sürümü için ayda 800 ABD doları karşılığında satılırken, hırsızlık, yükleyici, HVNC ve Chrome DevTools Protokolü (CDP) desteğiyle birlikte gelen “Kurumsal” sürümü ayda 2.000 ABD dolarına mal oluyor. Hırsızlığın dikkat çekici bir yönü, Bağımsız Devletler Topluluğu (BDT) ülkelerine bulaşmaktan kaçınmasıdır.

Algılama Önleme ve Çalışma Prensipleri

MonsterV2, tipik olarak, yükü şifresini çözüp yüklemeden önce bir dizi anti-analiz kontrolü çalıştırarak algılanmayı önlemesini sağlayan SonicCrypt adlı bir C++ şifreleyici kullanılarak paketlenir.

Başlatıldıktan sonra, kötü amaçlı yazılım, işleyişi için çok önemli olan Windows API işlevlerinin şifresini çözer ve çözer, ayrıca ayrıcalıklarını yükseltir. Daha sonra, komuta ve kontrol (C2) sunucusuna bağlanmak için gömülü bir yapılandırmanın kodunu çözmeye ve ayarlanan parametrelere göre bir sonraki eylem rotasını belirlemeye devam eder:

  • anti_dbg: Doğru olarak ayarlanırsa, kötü amaçlı yazılım kullanımda olan hata ayıklayıcıları algılamaya ve bunlardan kaçınmaya çalışır.
  • anti_sandbox: Doğru olarak ayarlanırsa, kötü amaçlı yazılım sanal alanları algılamaya ve bazı temel sanal alan önleme tekniklerini yürütmeye çalışır.
  • aurotun: Doğru olarak ayarlanırsa, kötü amaçlı yazılım ana bilgisayarda kalıcılık oluşturmaya çalışır.
  • priviledge_escalation: Doğru olarak ayarlanırsa, kötü amaçlı yazılım ayrıcalıklarını yükseltmeye çalışır.

Kötü amaçlı yazılım C2 sunucusuyla başarılı bir şekilde iletişim kurarsa, “api.ipify[.]org” adresine bir istek göndererek temel sistem bilgilerini ve sistemin coğrafi konumunu gönderir. Sunucudan gelen yanıt, ana bilgisayarda yürütülecek komutu içerir. Desteklenen özelliklerden bazıları aşağıda listelenmiştir:

  • Bilgi hırsızlığı işlevselliğini yürütün ve verileri sunucuya sızdırın.
  • cmd.exe veya PowerShell aracılığıyla rastgele bir komut yürütün.
  • Hedef süreçleri sonlandırın, askıya alın ve devam ettirin.
  • Enfekte olmuş sisteme bir HVNC bağlantısı kurun.
  • Masaüstünün ekran görüntülerini alın.
  • Bir tuş kaydedici başlatın.
  • Dosyaları numaralandırın, manipüle edin, kopyalayın ve sızdırın.
  • Sistemi kapatın veya çökertin.
  • StealC, Remcos RAT gibi bir sonraki aşama yüklerini indirin ve yürütün.

TA585’in Benzersizliği ve Adaptasyonu

Proofpoint, “Bu aktivite TA585 ile ilişkilendirilmedi. Özellikle, StealC ile MonsterV2 yükleri, bırakılan StealC yüküyle aynı C2 sunucusunu kullanacak şekilde yapılandırıldı” dedi. “TA585, hedefleme ve dağıtım için gelişmiş yeteneklere sahip benzersiz bir tehdit aktörüdür. Siber suç tehdidi ortamı sürekli değiştiğinden, TA585 filtreleme, dağıtım ve kötü amaçlı yazılım kurulumu için etkili stratejiler benimsedi.”

Sonuç olarak, TA585 ve MonsterV2 kötü amaçlı yazılımı, siber güvenlik uzmanlarının dikkatini çekmiş önemli bir tehdit oluşturmaktadır. Aktörün sofistike taktikleri ve kötü amaçlı yazılımın geniş yetenekleri, bu tehdide karşı korunmanın önemini vurgulamaktadır. Kuruluşlar ve bireyler, kimlik avı girişimlerini tanıma, yazılımlarını güncel tutma ve güçlü güvenlik önlemleri uygulama konusunda tetikte olmalıdır.

Güncel Siber Güvenlik Haberleri – 1

Çalışan SIM Değiştirme Saldırısının Mağduru Oldu
Kombat Pack 1 Karakterleri Yanlışlıkla Ortaya Çıktı; Homelander, Peacemaker ve Omni-Man Onaylandı
Amazon, Samsung’un OG Galaxy Buds Pro’sunu yeni bir rekor düşük fiyata satışa çıkardı
Rus Araştırmacılara Yönelik Sahte eLibrary E-postalı Yeni ForumTroll Phishing Saldırıları
Ruanda’nın Yeni Veri Koruma Yasasında Gezinme
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Black Myth: Wukong’un Yeni Güncellemesi Çok Büyük ve Tüm Oyunu Silmeniz Gerekebilir Teknomers
Sonraki Makale Hindistan merkezli Airbound, “one-cent” teslimatları için roket benzeri dronlar üretmek üzere 8,65 milyon dolar yatırım aldı. (Teknomers)

Sanal Medya

Son Eklenenler

Prime Day 2026 Hakkında Bilmeniz Gerekenler
Liste
İlk İnsan Denemesi: Yaşlanmaya Bağlı Görme Kaybını Tersine Çevirme!
Genel
Sandstone, iç hukuk ekiplerine AI getirmek için 30 milyon dolar topladı
Yapay Zeka
AMD Radeon RX 9070 XT 649$ ile satışta, Gigabyte 16GB GPU 90$ indirimli
Donanım
Yeni 007 First Light Oyunu Beklentileri Artıyor
Oyun
WinRAR Açığı: Rusya Yanlı Gruplar Ukrayna’da Hırsızlık Yapıyor!
Siber Güvenlik