MontysThree

MontysThree ist der Name, den Malware-Experten einem in C ++ geschriebenen bedrohlichen Toolset geben, das aus mehreren verschiedenen Modulen besteht. Der Name wurde von der Bezeichnung 'MT3' abgeleitet, die das Toolset von seinen kriminellen Erstellern erhalten hat. Es wurde beobachtet, dass das Toolset als Teil einer zielgerichteten Angriffskampagne verwendet wurde. Laut den Forschern ist der Bedrohungsakteur hinter dem Angriff ein neu entdecktes Hacker-Kollektiv, da weder die Malware-Tools noch die Taktik, Techniken und Verfahren (TTPs) mit denen übereinstimmen könnten, die bereits bekannten Advanced Persistent Threat (APT) Spielern zugeschrieben werden. Ein besonderer Aspekt der Geschäftstätigkeit dieses neuen Hacker-Kollektivs besteht darin, dass es an gezielter Unternehmensspionage beteiligt ist und nicht an den üblichen Aktivitäten staatlich geförderter APTs, die sich mehr auf Telekommunikationsunternehmen, Diplomaten oder Regierungsstellen konzentrieren.

Es gibt zahlreiche Hinweise darauf, dass MontysThree für Unternehmensspionage gegen Unternehmen mit Sitz in Russland oder zumindest mit Sitz in russischsprachigen Ländern konzipiert ist. Die Infosec-Forscher stellten fest, dass mehrere Module Textzeichenfolgen in russischer Sprache enthalten oder nach Verzeichnissen suchen, die nur auf kyrillisch lokalisierten Windows-Systemen vorhanden sind. Die Hacker haben möglicherweise versucht, potenzielle Forscher irrezuführen, indem sie in MontysThrees Kommunikation E-Mail-basierte Konten implementiert haben, die vorgeben, chinesischen Ursprungs zu sein.

MontysThree ist mit einer benutzerdefinierten Steganographie und einem komplexen Verschlüsselungsschema ausgestattet

Das Toolset weist zahlreiche einzigartige Merkmale auf, die es zu einer eher seltenen Bedrohung unter den anderen Bedrohungswerkzeugen machen. Erstens besteht es aus mehreren Modulen, die jeweils für bestimmte Aufgaben verantwortlich sind:

• Loader-Modul - Verwaltet das Extrahieren der Steganographie-verschlüsselten Daten aus dem Bitmap-Bild, das sie trägt. Das entschlüsselte Ergebnis wird als Datei mit dem Namen 'msgslang32.dll' auf der Disc abgelegt.
• Kernelmodul - Enthält RSA- und 3DES-Verschlüsselungsschlüssel, die zur Entschlüsselung der Konfiguration und während der Kommunikation mit der Command-and-Control-Infrastruktur (C2, C & C) verwendet werden. Außerdem wird die Datenerfassung durchgeführt, indem bestimmte Systemdetails wie Betriebssystemversion, Prozessliste und Screenshots erfasst werden. Außerdem wird eine Liste der neuesten Dokumente des Zielbenutzers aus den aktuellen Dokumentverzeichnissen in% USERPROFILE% und% APPDATA% abgerufen. Ein bestimmter Ordner, der überprüft wird, ist% APPDATA% \ Microsoft \ Office \ Последние файлы.
• HttpTransport-Modul - Das HttpTransport-Modul befindet sich im Kernel Mobile und ist mit der Exfiltration der gesammelten Informationen beauftragt. Es kann Daten über die Protokolle RDP, Citrix, WebDAV und HTTP herunterladen oder hochladen. Es ist zu beachten, dass die Protokolle nicht als Teil des Moduls implementiert werden und stattdessen legitime Windows-Programme ausgenutzt werden - Internet Explorer-, RDP- und Citrix-Clients. Das Modul kann auch Daten von öffentlichen Cloud-Diensten wie Google und Dropbox über Benutzertoken herunterladen.
• LinkUpdate - Verantwortlich für das Erreichen der Persistenz auf dem gefährdeten Computer durch Ändern von .lnk -Dateien im Windows-Schnellstartfenster.

MontyThree verbreitet sich durch Phishing-Angriffe

Das modulare MontyThree-Toolset wird in selbstextrahierenden RAR-Archiven geliefert. Die Namen dieser vergifteten Archive sollen die Aufmerksamkeit russischsprachiger Benutzer auf sich ziehen. Die Hacker verwenden Variationen von "Corporate Info Update" oder "Medical Analysis Results". Eine Datei wurde "Список телефонов сотрудников 2019.doc" (Liste der Mitarbeitertelefone) genannt, während andere einfach "Tech task.pdf" oder "invitro-106650152-1.pdf" waren (Invitro ist der Name eines russischen medizinischen Labors).