Matanbuchus 3.0 Malware
Matanbuchus er en berygtet Malware-as-a-Service-platform, der er designet til at levere næste-fase-nyttelaster såsom Cobalt Strike-beacons og ransomware. Malwaren, der først blev promoveret i februar 2021 på russisktalende fora for $2.500, blev hurtigt et populært valg for trusselsaktører. Angribere har brugt den i ClickFix-lignende kampagner, hvor de narrer brugere gennem legitime, men kompromitterede websteder.
Indholdsfortegnelse
Leveringstaktikker og udviklende trusselsvektorer
Malwarens distributionsteknikker er blevet mere og mere sofistikerede. De første kampagner var i høj grad afhængige af phishing-e-mails, der ledte ofrene til ondsindede Google Drive-links. Med tiden udvidede angriberne deres arsenal til at omfatte:
- Drive-by-downloads fra kompromitterede websteder
- Ondsindede MSI-installationsprogrammer
- Malvertising-kampagner
Matanbuchus er blevet observeret i gang med at implementere sekundære nyttelaster som DanaBot, QakBot og Cobalt Strike, der ofte bruges som springbrætter til ransomware-infektioner.
Matanbuchus 3.0: Avancerede muligheder og funktioner
Den seneste iteration, Matanbuchus 3.0, introducerer betydelige forbedringer for at forbedre stealth og vedholdenhed. Vigtige opgraderinger inkluderer:
- Avancerede kommunikationsprotokolteknikker
- Udførelse i hukommelsen for stealth
- Forbedret sløring for at undgå opdagelse
- Omvendt shell-understøttelse via CMD og PowerShell
- Mulighed for at starte DLL-, EXE- og shellcode-nyttelaster
Denne udvikling understreger malwarens rolle i at fremme avancerede angreb i flere trin.
Virkelig udnyttelse: Social manipulation via Microsoft Teams
Forskere afdækkede en kampagne fra juli 2025, der var rettet mod en unavngiven virksomhed. Angribere efterlignede IT-helpdeskpersonale under eksterne Microsoft Teams-opkald og overtalte dermed medarbejdere til at starte Quick Assist for fjernadgang. Dette gjorde det muligt for dem at udføre et PowerShell-script, der implementerede Matanbuchus.
Sådanne taktikker afspejler social engineering-metoder, der tidligere er forbundet med Black Basta ransomware-gruppen, hvilket indikerer en voksende overlapning mellem loader- og ransomware-operationer.
Under motorhjelmen: Infektionskæde og persistens
Når ofrene kører det angivne script, downloades et arkiv. Indeni er:
- En omdøbt Notepad++-opdatering (GUP)
- En modificeret XML-konfigurationsfil
- En skadelig DLL, der repræsenterer indlæseren
Efter udførelse indsamler Matanbuchus systemdata, kontrollerer sikkerhedsværktøjer og bekræfter privilegieniveauer, før detaljer overføres til sin Command-and-Control (C2)-server. Yderligere nyttelast leveres derefter som MSI-pakker eller eksekverbare filer. Persistens opnås ved at oprette planlagte opgaver ved hjælp af COM-objekter og injicere shellcode, en teknik, der blander enkelhed og sofistikering.
Stealth og kontrol: Hvorfor det er farligt
Indlæseren understøtter avancerede funktioner, herunder WQL-forespørgsler og fjernkommandoer til at indsamle detaljer om processer, tjenester og installerede applikationer. Den kan udføre systemkommandoer som regsvr32, rundll32, msiexec og endda udføre proceshollowing, hvilket fremhæver dens fleksibilitet.
Prisfastsættelse og forretningsmodellen bag truslen
Denne MaaS-platform har set sine priser stige voldsomt med sine funktioner:
- 10.000 USD/måned for HTTPS-versionen
- 15.000 USD/måned for DNS-versionen
Sådanne omkostninger afspejler malwarens effektivitet og efterspørgsel i cyberkriminalitetsøkosystemet.
Matanbuchus og det større billede af MaaS-udviklingen
Den seneste version er et godt eksempel på tendensen mod stealth-first loadere, der udnytter LOLBins, COM-kapring og PowerShell-stagers for at forblive uopdaget. Misbruget af samarbejdsværktøjer som Microsoft Teams og Zoom komplicerer yderligere virksomhedssikkerheden. Forskere lægger vægt på at integrere loader-detektion i håndteringen af angrebsflader, efterhånden som disse trusler fortsætter med at udvikle sig.
