Οι ερευνητές ασφαλείας της Kaspersky εντόπισαν ένα νέο malware με την ονομασία “MontysThree”, το οποίο αναπτύχθηκε από ρωσόφωνους χάκερς με στόχο οργανισμούς της Ρωσίας. Το MontysThree που ανέπτυξαν ρωσόφωνοι χάκερς χρησιμοποιεί ένα σύνολο εργαλείων, που ονομάζεται “MT3”, σε εξαιρετικά στοχευμένες επιθέσεις, αποσκοπώντας στην κατασκοπεία οργανισμών της χώρας της Ανατολικής Ευρώπης.
Οι ερευνητές της Kaspersky ανέφεραν σε σχετική τους δήλωση ότι ανακάλυψαν ένα προηγουμένως άγνωστο σετ εργαλείων πολλαπλών λειτουργιών C ++ που χρησιμοποιήθηκε σε επιθέσεις που αποσκοπούσαν στην κατασκοπεία οργανισμών της Ρωσίας. Οι επιθέσεις του MontysThree που ανέπτυξαν ρωσόφωνοι χάκερς χρονολογούνται από το 2018.
Οι ερευνητές επεσήμαναν ακόμη πως ο λόγος για τον οποίο αυτό το malware κίνησε το ενδιαφέρον τους ήταν η σπανιότητα, η προφανώς στοχευμένη φύση της malware εκστρατείας, αλλά και το γεγονός ότι δεν υπάρχουν εμφανείς ομοιότητες με άλλες γνωστές εκστρατείες ως προς τον κώδικα, την υποδομή ή τις τεχνικές, τακτικές και διαδικασίες (TTPs). Σύμφωνα με τους ερευνητές, τόσο το σύνολο εργαλείων όσο και οι ρωσόφωνοι χάκερς που το ανέπτυξαν είναι καινούργια στο τοπίο των απειλών. Οι δημιουργοί του malware ονόμασαν το σύνολο εργαλείων “MT3”. Μετά από αυτήν τη συντομογραφία οι ερευνητές ονόμασαν αυτό το σύνολο εργαλείων “MontysThree”.
Το MontysThree εκτιμάται ότι δραστηριοποιείται στο πεδίο του κυβερνοχώρου τουλάχιστον από το 2018. Ωστόσο, η Kaspersky δεν έχει εντοπίσει μέχρι στιγμής στοιχεία που να συνδέουν την hacking συμμορία του με άλλες γνωστές APT ομάδες.
Το malware που χρησιμοποιούν οι χάκερς του MontysThree έχει δομοστοιχειωτή δομή, ενώ οι ειδικοί ανέλυσαν τέσσερα modules που γράφτηκαν σε C ++, τον loader, τον πυρήνα, το HttpTransport και το LinkUpdate.
Το loader επιτρέπει την παράδοση του κύριου payload, ενώ οι ειδικοί παρατήρησαν ότι αυτό κρύβεται μέσα σε ένα αυτο-εξαγόμενο αρχείο RAR. Προκειμένου να παρακινήσουν τα υποψήφια θύματα να το ανοίξουν, το αρχείο αναφέρει τηλεφωνικές λίστες, αποτελέσματα ιατρικών εξετάσεων ή τεχνική τεκμηρίωση, ώστε να πείσει τους υπαλλήλους του εκάστοτε στοχοποιημένου οργανισμού να κατεβάσουν το αρχείο. Το loader κρύβει το κύριο payload μέσα σε αρχεία εικόνας bitmap. Επιπλέον, το κύριο payload χρησιμοποιεί κρυπτογράφηση για να αποφύγει την ανίχνευση και να προστατεύσει τις C&C επικοινωνίες.
Το malware δίνει τη δυνατότητα στους χάκερς να αναζητήσουν συγκεκριμένα έγγραφα του Microsoft Office και του Adobe Acrobat και να τα κλέψουν, να κάνουν screenshots και να συλλέξουν πληροφορίες σχετικά με τον παραβιασμένο υπολογιστή. Το malware μπορεί επίσης να αποθηκεύσει τα κλεμμένα δεδομένα σε μεγάλες υπηρεσίες cloud, συμπεριλαμβανομένων των Google, Microsoft και Dropbox. Πρόκειται για μια τεχνική που χρησιμοποιούν συχνά οι χάκερς για να αποκρύψουν την κακόβουλη κίνηση.
Αξιοσημείωτο είναι το γεγονός πως οι ερευνητές κατέληξαν στο συμπέρασμα ότι οι χάκερς της εν λόγω εκστρατείας είναι ρωσόφωνοι και ότι στοχεύουν εκδόσεις του Windows Cyrillic, από την παρουσία πολλών τεχνουργημάτων στον κώδικα του malware.
Ακόμη, η Kaspersky επεσήμανε ότι η εκστρατεία του MontysThree δεν είναι τόσο εξελιγμένη όσο μία που συνδυάζεται με άλλους παράγοντες απειλής όσον αφορά τη μέθοδο διάδοσης και την επιμονή.
Τέλος, ορισμένες πτυχές του malware, όπως η ταυτόχρονη σύνδεση σε μνήμη RAM και αρχεία, η διατήρηση των κλειδιών κρυπτογράφησης στο ίδιο αρχείο και η εκτέλεση ενός αόρατου browser στον απομακρυσμένο κεντρικό υπολογιστή, υποδηλώνουν ότι οι προγραμματιστές δεν είναι επαγγελματίες.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/274775/montysthree-rosofoni-hackers-stoxevoun-organismous-tis-rosias/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:791fa718afa43aad347e9137409f51d8/https://www.secnews.gr/file-20200720-92332-1dragjf.jpg&description=Ερευνητές εντόπισαν νέο malware με την ονομασία "MontysThree", το οποίο ανέπτυξαν ρωσόφωνοι χάκερς με στόχο οργανισμούς της Ρωσίας.){kind=link}