Cybersecurity -onderzoekers hebben een nieuwe variant gemarkeerd van een bekende malware -lader genaamd Matanbuchus Dat bevat belangrijke functies om de stealth te verbeteren en detectie te ontwijken.
Matanbuchus is de naam die wordt gegeven aan een malware-as-a-service (MAAS) -aanbod dat kan fungeren als een leiding voor de volgende fase payloads, waaronder kobaltstakingsbakens en ransomware.
Voor het eerst geadverteerd in februari 2021 op Russisch sprekende cybercriminaliteitsforums voor een huurprijs van $ 2.500, de malware is gebruikt als onderdeel van Clickfix-achtige kunstaas om gebruikers te misleiden die legitieme but-gecompromitteerde sites die het niet uitvoeren.
Matanbuchus onderscheidt zich tussen laders omdat het meestal niet wordt verspreid via spam-e-mails of drive-by-downloads. In plaats daarvan wordt het vaak ingezet met behulp van hands-on social engineering, waar aanvallers gebruikers rechtstreeks misleiden. In sommige gevallen ondersteunt het het soort initiële toegang dat wordt gebruikt door makelaars die toegang verkopen aan ransomware -groepen. Dit maakt het meer gericht en gecoördineerd dan typische grondstoffenladers.
De nieuwste versie van de lader, gevolgd als Matanbuchus 3.0, bevat verschillende nieuwe functies, waaronder verbeterde communicatieprotocoltechnieken, in-memory-mogelijkheden, verbeterde obfuscatiemethoden, CMD en PowerShell Reverse Shell-ondersteuning en de mogelijkheid om DLL, EXE en shellcode-payloads, per morphisec, per morphisec te uitvoeren.
Het Cybersecurity Company zei dat het de malware eerder deze maand in een incident observeerde, waarbij een niet nader genoemde bedrijf werd gericht via externe Microsoft -teams die een IT -helpdesk beloofde en werknemers heeft bedrogen om snelle assist te lanceren voor externe toegang en vervolgens een PowerShell -script uitvoert dat Matanbuchus implementeerde.
Het is vermeldenswaard dat vergelijkbare social engineering -tactieken zijn gebruikt door dreigingsactoren die zijn geassocieerd met de Black Basta Ransomware -operatie.
“Slachtoffers zijn zorgvuldig het doelwit en overtuigd om een script uit te voeren dat de download van een archief activeert,” zei Morphisec CTO Michael Gorelik. “Dit archief bevat een hernoemde Notepad ++ updater (GUP), een enigszins gewijzigd configuratie XML-bestand en een kwaadwillende zijbelaste DLL die de Matanbuchus-lader vertegenwoordigt.”
Matanbuchus 3.0 is openbaar geadverteerd voor een maandelijkse prijs van $ 10.000 voor de HTTPS -versie en $ 15.000 voor de DNS -versie.
Eenmaal gelanceerd, verzamelt de malware systeeminformatie en herhaalt over de lijst met lopende processen om de aanwezigheid van beveiligingstools te bepalen. Het controleert ook de status van zijn proces om te controleren of het wordt uitgevoerd met administratieve privileges.
Vervolgens verzendt het de verzamelde details naar een opdracht-en-control (C2) -server om extra payloads te ontvangen in de vorm van MSI-installateurs en draagbare uitvoerbare bestanden. Persistentie op het schot wordt bereikt door een geplande taak op te zetten.
“Hoewel het eenvoudig klinkt, hebben Matanbuchus -ontwikkelaars geavanceerde technieken geïmplementeerd om een taak te plannen door het gebruik van com en injectie van shellcode,” legde Gorelik uit. “De shellcode zelf is interessant; het implementeert een relatief eenvoudige API -resolutie (eenvoudige stringvergelijkingen), en een geavanceerde COM -uitvoering die de ItaskService manipuleert.”
De lader wordt ook geleverd met functies die op afstand kunnen worden ingeroepen door de C2 -server om alle uitvoerende processen, uitvoerende services en een lijst met geïnstalleerde applicaties te verzamelen.
“De Matanbuchus 3.0 Malware-as-a-Service is geëvolueerd tot een verfijnde dreiging,” zei Gorelik. “Deze bijgewerkte versie introduceert geavanceerde technieken zoals verbeterde communicatieprotocollen, in-memory stealth, verbeterde obfuscatie en ondersteuning voor WQL-query’s, CMD en powershell reverse shells.”
“Het vermogen van de lader om REGSVR32, RAUDDLL32, MSIEXEC of PROCES HOLOWEN -commando’s uit te voeren, onderstreept zijn veelzijdigheid, waardoor het een aanzienlijk risico is voor gecompromitteerde systemen.”
Naarmate malware-as-a-service evolueert, past Matanbuchus 3.0 in een bredere trend van stealth-first laders die afhankelijk zijn van Lolbins (wiving-off-the-land binaries), com-objectkaacking en powershell strengt om onder de radar te blijven.
Dreigingsonderzoekers brengen deze laders steeds vaker in kaart als onderdeel van aanvalsoppervlakbeheerstrategieën en koppelen ze aan misbruik van enterprise samenwerkingstools zoals Microsoft -teams en zoom.
