MonsterV2 マルウェア

サイバーセキュリティ研究者は最近、TA585 として追跡されている、これまで文書化されていなかった脅威アクターを明らかにしました。このアクターは、高度なフィッシングおよび Web インジェクション キャンペーンを実行して、MonsterV2 と呼ばれる既成のマルウェア ファミリを配布していました。

TA585 — キルチェーン全体を掌握するオペレーター

TA585は、攻撃チェーン全体をエンドツーエンドで制御しているように見える点で際立っています。配信業者を購入したり、初期アクセスブローカーからアクセスをリースしたり、サードパーティのトラフィックサービスに依存したりするのではなく、TA585は独自のインフラストラクチャ、配信メカニズム、インストールツールを管理しています。アナリストは、このクラスターが高度であると評価しています。攻撃者は、Webインジェクション、フィルタリング、環境チェック、そして複数の配信手法を用いて、成功率を最大化し、分析を回避しています。

フィッシング、ClickFix、IRSをテーマにしたルアー - ソーシャルエンジニアリングのプレイブック
初期のキャンペーンでは、米国国税庁（IRS）を題材にした典型的なフィッシング詐欺が利用されていました。標的となったユーザーは、偽のURLに誘導するメッセージを受け取り、そこからPDFファイルが開かれます。このPDFファイルには、ClickFixソーシャルエンジニアリング戦術を用いたWebページへのリンクが含まれていました。ClickFixは、Windowsの「ファイル名を指定して実行」ダイアログまたはPowerShellターミナルでコマンドを実行するようユーザーを誘導します。すると、後続のPowerShellスクリプトが実行され、MonsterV2がプルされて展開されます。

ウェブインジェクションと偽CAPTCHAオーバーレイ

2025年4月に確認されたその後の波では、TA585は悪意のあるJavaScriptインジェクションを介して正規のウェブサイトを侵害するようになりました。これらのインジェクションは偽のCAPTCHA認証オーバーレイを生成し、これが再びClickFixフローをトリガーし、最終的にマルウェアをダウンロードして起動するためのPowerShellコマンドを起動しました。このJavaScriptインジェクションと関連インフラ（特にintlspring.com）は、Rhadamanthys Stealerを含む他のスティーラーの配信にも関連付けられています。

GitHubの悪用と偽のセキュリティ通知

TA585による3つ目のキャンペーンは、GitHubの通知メカニズムを悪用していました。攻撃者は、GitHubユーザーを偽の「セキュリティ」通知にタグ付けし、その中に被害者を攻撃者が管理するサイトへ誘導するURLが含まれていました。これらの偽のGitHubアラートは、被害者をClickFix/PowerShellの連鎖へと誘導するためのもう一つの手段として利用されました。

CoreSecThreeフレームワーク - デリバリーバックボーン

Webインジェクトおよび偽GitHubアクティビティクラスターは、研究者によって「洗練されている」と特徴付けられ、2022年2月から使用されているフレームワークであるCoreSecThreeに関連付けられています。CoreSecThreeは、複数のキャンペーンにわたってスティーラーマルウェアを拡散するために一貫して使用されてきました。

MonsterV2 — 起源と変種

MonsterV2は、リモートアクセス型トロイの木馬（RAT）、スティーラー、ローダーという多機能な脅威です。研究者は、2025年2月に犯罪フォーラムでこのマルウェアの広告を初めて確認しました。「Aurotun Stealer」（「autorun」のスペルミス）とも呼ばれ、以前はCastleLoader（別名CastleBot）を介して配布されていました。TA585の初期の活動では、2025年初頭にMonsterV2に移行する前に、Lumma Stealerを配布していました。

商業モデルとジオフェンシング

MonsterV2はロシア語圏の事業者によって販売されています。犯罪者市場で確認された価格は、Standardエディションが月額800米ドル、Enterpriseエディションが月額2,000米ドルです。Enterpriseエディションには、スティーラー＋ローダー、Hidden VNC（HVNC）、Chrome DevTools Protocol（CDP）のサポートが含まれています。スティーラーコンポーネントは、独立国家共同体（CIS）諸国への感染を回避するように設定されています。

パッキング、アンチアナリシス、実行時の動作

MonsterV2は通常、SonicCryptというC++暗号化ツールでパックされています。SonicCryptは、ペイロードを復号してロードする前に、階層化された解析回避チェックを提供することで、検出回避を可能にします。実行時にペイロードは復号し、必要なWindows API関数を解決し、権限昇格を試みます。その後、コマンドアンドコントロール（C2）への接続方法と実行すべきアクションを指示する埋め込み構成をデコードします。

MonsterV2 で使用される設定フラグは次のとおりです。

• anti_dbg — True の場合、マルウェアはデバッガーを検出して回避しようとします。
• anti_sandbox — True の場合、マルウェアはサンドボックス検出を試み、基本的なサンドボックス対策技術を使用します。
• aurotun — True の場合、マルウェアは永続性を確立しようとします (スペルミスが「Aurotun」という名前の由来です)。
• priviledge_escalation — True の場合、マルウェアはホスト上の権限を昇格しようとします。

ネットワークとC2の動作

MonsterV2がC2サーバーへの到達に成功すると、まず公開サービス（研究者はapi.ipify.orgへのリクエストを観測）に問い合わせ、基本的なシステムテレメトリと位置情報を送信します。C2サーバーからの応答には、実行すべきコマンドが含まれています。観測された一部の攻撃では、MonsterV2がドロップしたペイロードは、他のペイロード（例えばStealC）と同じC2サーバーを使用するように設定されていましたが、これらの他のキャンペーンはTA585に直接起因するものではありませんでした。

MonsterV2 の文書化された機能は次のとおりです。

緩和と検出のガイダンス

防御側は、TA585を、ソーシャルエンジニアリング、サイト侵害、多層的な分析回避技術を融合させた、有能な垂直統合型攻撃者として扱うべきです。検出対象としては、Webベースのフローから発生する疑わしいPowerShell/Runダイアログアクティビティの監視、正規サイトにおける異常なJavaScriptインジェクションの特定、行動検出による既知のSonicCryptで圧縮されたバイナリのブロック、予期せぬHVNC/リモートコントロール接続やファイル流出パターンのフラグ付けなどが挙げられます。また、通常とは異なるC2ホストへの通信や、パブリックIP検出サービス（api.ipify.orgなど）へのクエリをアウトバウンドデータ転送と組み合わせて監視することで、感染を発見できる可能性があります。

まとめ

TA585は、配信、配信、ペイロード操作を制御下に置き、回復力の高い脅威アクターです。フィッシング、サイトレベルのJavaScriptインジェクション、偽CAPTCHAオーバーレイ、そして商用MonsterV2ペイロード（SonicCryptを同梱）を組み合わせることで、信頼性の高いマルチベクトル型のデータ窃取およびリモートコントロール機能を構築しています。アクターの運用の成熟度とMonsterV2のモジュール型機能セットを考慮すると、組織はWebベースのコマンド実行、PowerShellのダウンロード実行チェーン、SonicCryptで圧縮されたバイナリ、そして疑わしいHVNCまたはデータ流出活動の検出を優先する必要があります。