2020年夏季发现了针对性较强的工业间谍软件的活动，工具集中包含未知的C++模块。恶意软件作者将工具集命名为“ MT3”，研究人员将工具集命名为“ MontysThree”。

该恶意软件包括一组用于持久控制的C ++模块，使用隐写术从位图中获取数据，解密配置任务(屏幕截图，获取目标指纹，获取文件等)等。该恶意软件使用自定义隐写术，基于XOR的自定义加密，3DES和RSA算法进行解密和通信。

传播方式

初始加载程序模块在RAR自解压文件中，只有PE文件(伪装.pdf或.doc文件)， 其中一个(MD5 da49fea229dd2dedab2b909f24fb24ab)名为“Списоктелефоновсотрудников2019.doc”(“员工电话清单”，俄语)，另外还有“ Tech task.pdf”和“ invitro-106650152-1.pdf”。 后者是俄罗斯医学实验室的名称。 SFX脚本如下：

Path=%TEMP%\ 

SavePath 

Setup=rundll32.exe "invitro-106650152-1.pdf",Open 

Silent=1 

Overwrite=1 

UUpdate=U 

Delete=invitro-106650152-1.pdf 

执行后，SFX脚本会调用%TEMP%目录中已解压缩的可执行文件，并将其删除。

技术分析

下表列出了四个模块及其功能， 这些模块共享通用的通信规范。 当处理诸如配置文件和执行日志之类的共享数据时，该恶意软件会初始化线程本地存储(TLS)中的结构。

入口点DllEntryPoint()的工作方式类似于构造函数，模块必须导出一个名为Open()的函数，该函数不带任何参数(但可以解析命令行)并返回一个四字节的错误代码。