MontysThree

MontysThree es el nombre dado por los expertos en malware a un conjunto de herramientas amenazadoras escritas en C ++ compuesto por varios módulos diferentes. El nombre se deriva de la designación 'MT3' que sus creadores criminales le dieron al conjunto de herramientas. Se observó que el conjunto de herramientas se usaba como parte de una campaña de ataque altamente dirigida. Según los investigadores, el actor de la amenaza detrás del ataque es un colectivo de piratas informáticos recientemente descubierto, ya que ninguna de las herramientas de malware ni las tácticas, técnicas y procedimientos (TTP) podrían coincidir con los atribuidos a la amenaza persistente avanzada (APT) ya conocida. actores. Un aspecto peculiar de las operaciones de este nuevo colectivo de hackers es que está involucrado en espionaje corporativo dirigido y no en las actividades habituales de las APT patrocinadas por el estado, que se centran más en empresas de telecomunicaciones, diplomáticos o entidades gubernamentales.

Existe mucha evidencia de que MontysThree está diseñado para el espionaje corporativo contra empresas ubicadas en Rusia o, al menos, aquellas ubicadas en países de habla rusa. Los investigadores de infosec descubrieron que varios módulos contienen cadenas de texto en ruso o buscan directorios que solo existen en sistemas Windows localizados en cirílico. Es posible que los piratas informáticos hayan intentado engañar a los posibles investigadores implementando cuentas de correo electrónico en la comunicación de MontysThree que pretenden ser de origen chino.

MontysThree está equipado con esteganografía personalizada y un esquema de cifrado complejo

El conjunto de herramientas muestra numerosas características únicas, lo que lo convierte en una amenaza bastante rara entre las otras herramientas amenazantes que existen. Primero, consta de varios módulos, cada uno responsable de tareas específicas:

• Módulo cargador : gestiona la extracción de los datos cifrados con esteganografía de la imagen de mapa de bits que los lleva. El resultado descifrado se coloca en el disco como un archivo llamado 'msgslang32.dll'.
• Módulo Kernel : contiene claves de cifrado RSA y 3DES que se utilizan para el descifrado de la configuración y durante la comunicación con la infraestructura de comando y control (C2, C&C). También realiza la recolección de datos obteniendo ciertos detalles del sistema como la versión del SO, lista de procesos y captura de capturas de pantalla. También obtiene una lista de los últimos documentos del usuario objetivo de directorios de documentos recientes ubicados en% USERPROFILE% y% APPDATA%. Una carpeta específica que está marcada es% APPDATA% \ Microsoft \ Office \ Последние файлы.
• Módulo HttpTransport : ubicado dentro del Kernel Mobile, el módulo HttpTransport tiene la tarea de exfiltrar la información recopilada. Puede descargar o cargar datos a través de los protocolos RDP, Citrix, WebDAV y HTTP. Cabe señalar que los protocolos no se implementan como parte del módulo, sino que se aprovechan los programas legítimos de Windows: clientes de Internet Explorer, RDP y Citrix. El módulo también puede descargar datos de servicios públicos en la nube como Google y Dropbox a través de tokens de usuario.
• LinkUpdate : responsable de lograr la persistencia en la máquina comprometida modificando los archivos ' .lnk ' en el panel de inicio rápido de Windows.

MontyThree se propaga mediante ataques de phishing

El conjunto de herramientas modular MontyThree se entrega dentro de archivos RAR autoextraíbles. Los nombres de estos archivos envenenados están diseñados para atraer la atención de los usuarios de habla rusa. Los piratas informáticos utilizan variaciones de "actualización de información corporativa" o "resultados de análisis médicos". Un archivo se llamaba 'Список телефонов сотрудников 2019.doc' (Lista de teléfonos de los empleados), mientras que otros eran simplemente 'Tech task.pdf' o 'invitro-106650152-1.pdf' (Invitro es el nombre de un laboratorio médico ruso).