MontysThree

MontysThree est le nom donné par les experts en malwares à un ensemble d'outils menaçant écrit en C ++ et composé de plusieurs modules différents. Le nom est dérivé de la désignation «MT3» qui a été donnée à l'ensemble d'outils par ses créateurs criminels. Il a été observé que l'ensemble d'outils était utilisé dans le cadre d'une campagne d'attaque hautement ciblée. Selon les chercheurs, l'acteur de la menace derrière l'attaque est un collectif de hackers récemment découvert, car aucun des outils malveillants ni des tactiques, techniques et procédures (TTP) ne peuvent être mis en correspondance avec ceux attribués à une menace persistante avancée (APT) déjà connue. acteurs. Un aspect particulier des opérations de ce nouveau collectif de hackers est qu'il est impliqué dans l'espionnage ciblé d'entreprises et non dans les activités habituelles des APT parrainés par l'État, qui se concentrent davantage sur les entreprises de télécommunications, les diplomates ou les entités gouvernementales.

Il existe de nombreuses preuves que MontysThree est conçu pour l'espionnage d'entreprise contre des entreprises situées en Russie ou, du moins, dans des pays russophones. Les chercheurs d'Infosec ont découvert que plusieurs modules contiennent des chaînes de texte en russe ou recherchent des répertoires qui n'existent que sur les systèmes Windows localisés en cyrillique. Les pirates informatiques ont peut-être tenté d'induire en erreur des chercheurs potentiels en mettant en œuvre des comptes basés sur la messagerie électronique dans la communication de MontysThree qui prétendent être d'origine chinoise.

MontysThree est équipé d'une stéganographie personnalisée et d'un schéma de chiffrement complexe

L'ensemble d'outils affiche de nombreuses caractéristiques uniques, ce qui en fait une menace plutôt rare parmi les autres outils menaçants. Premièrement, il se compose de plusieurs modules, chacun responsable de tâches spécifiques:

• Module de chargement - Gère l'extraction des données cryptées par stéganographie de l'image bitmap qui les porte. Le résultat déchiffré est déposé sur le disque sous la forme d'un fichier nommé «msgslang32.dll».
• Module de noyau - Contient les clés de chiffrement RSA et 3DES utilisées pour le déchiffrement de la configuration et pendant la communication avec l'infrastructure de commande et de contrôle (C2, C&C). Il effectue également la collecte de données en obtenant certains détails du système tels que la version du système d'exploitation, la liste des processus et la capture de captures d'écran. Il fournit également une liste des derniers documents de l'utilisateur ciblé à partir des répertoires de documents récents situés dans% USERPROFILE% et% APPDATA%. Un dossier spécifique qui est vérifié est% APPDATA% \ Microsoft \ Office \ Последние файлы.
• Module HttpTransport - Situé à l'intérieur du mobile Kernel, le module HttpTransport est chargé de l'exfiltration des informations collectées. Il peut télécharger ou télécharger des données via les protocoles RDP, Citrix, WebDAV et HTTP. Il convient de noter que les protocoles ne sont pas implémentés dans le cadre du module, et à la place, des programmes Windows légitimes sont exploités - clients Internet Explorer, RDP et Citrix. Le module peut également télécharger des données à partir de services Cloud publics tels que Google et Dropbox via des jetons d'utilisateurs.
• LinkUpdate - Responsable de la persistance sur la machine compromise en modifiant les fichiers « .lnk » dans le panneau de lancement rapide de Windows.

MontyThree se propage grâce aux attaques de phishing

L'ensemble d'outils modulaire MontyThree est livré dans des archives RAR auto-extractibles. Les noms de ces archives empoisonnées sont conçus pour attirer l'attention des utilisateurs russophones. Les pirates utilisent des variantes de «mise à jour des informations d'entreprise» ou de «résultats d'analyses médicales». Un fichier a été nommé 'Список телефонов сотрудников 2019.doc' (Liste de téléphone des employés) tandis que d'autres étaient simplement 'Tech task.pdf' ou 'invitro-106650152-1.pdf' (Invitro est le nom d'un laboratoire médical russe).