Matanbuchus Malware
Matanbuchus Malware er en truende loader, der tilbydes i en malware-as-a-service-ordning (MaaS) på underjordiske hackerfora og markedspladser. Skaberen af Matanbuchus er en trusselsaktør, der opererer under navnet BelialDemon. Ifølge salgshøjden skulle kommende kunder betale en indledende lejepris på $ 2500 for at få adgang til truslen. Malwaredelsættet kendt som loaders er typisk trusler, der er droppet i de tidlige stadier af angrebskæden, og er ansvarlige for at hente og derefter udføre nyttetrins i næste trin på de kompromitterede systemer. Generelt holder Matanbuchus sig til sin rolle, idet dets vigtigste skændige funktioner er - lancering af .exe- og .dll-filer i hukommelsen, udførelse af PowerShell-kommandoer ved hjælp af schtasks.exe til at manipulere med opgaveplaner og evnen til at tvinge enkeltstående eksekverbare filer indlæse en bestemt DLL.
Indledende angrebsvektor
Infosec-forskerne ved Palo Alto Networks 'Unit 42, der opdagede Matanbuchus, var også i stand til at bestemme de midler, der blev brugt af hackere til at levere truslen. Den første vektor for angrebene er et lokke Microsoft Excel-dokument, der bærer beskadigede makroer. Trusselsaktører har vist en fortsat tendens, der efterlader de sædvanlige våbeniserede Microsoft Word-dokumenter og skifter til Excel-filer. Forklaringen er ret enkel - de indbyggede egenskaber ved Excel gør det muligt for trusselaktørerne at distribuere deres beskadigede kode gennem regnearkscellerne i dokumentet, hvilket opnår et niveau af forvirring og gør analyse og påvisning meget hårdere. Når brugeren udfører Excel-filen og aktiverer dens makroer, henter den kompromitterede kodning med filen en DLL-fil med navnet 'ddg.dll' fra en bestemt placering (idé-sikker-login [.] Com). Filen gemmes derefter på offerets system som 'hcRlCTg.dll.' Dette er faktisk DLL-filen af Matanbuchus Malware.
Matanbuchus Malwares struktur
Loader-truslen består af to DLL-filer - MatanbuchusDroper.dll og Matanbuchus.dll. Som navnet antyder, er den første fils primære funktion at levere den vigtigste malware-fil. Derudover kontrollerer den også det oprindelige miljø for sandkasser eller fejlretningsværktøjer via GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime og QueryPerformanceCounter. Det næste trin er at downloade den primære Matanbuchus DLL under dække af en XML-fil ved navn 'AveBelial.xml.' Truslen aktiverer en vedvarende mekanisme ved at generere en planlagt opgave til at køre den nyligt droppede DLL-fil.
Matanbuchus forsøger at blande sine filer i det oprindelige system ved hjælp af tilnærmelser til typiske systemfilnavne. For eksempel i stedet for den legitime shell32 eller shell64 navngiver truslen dens hovedkomponent shell96. Det skal bemærkes, at Matanbuchus.dll svarer til den anden DLL-fil, men hackerne har brugt meget mere tid på at udstyre den med yderligere tilslørings- og kodningsteknikker til at maskere dens strenge og eksekverbar kode.
Brugere og organisationer bør holde øje med truslen, da den allerede udnyttes i angrebskampagner over hele verden. Indtil videre er Matanbuchus Malware blevet indsat mod flere forskellige organisationer med et stort amerikansk universitet og en gymnasium samt en højteknologisk organisation fra Belgien som blandt ofrene.
