Matanbuchus 3.0 pahavara
Matanbuchus on kurikuulus pahavara teenusena (Malware-as-a-Service) platvorm, mis on loodud järgmise etapi kasulike koormuste, näiteks Cobalt Strike'i märguannete ja lunavara edastamiseks. Esmakordselt 2021. aasta veebruaris venekeelsetes foorumites 2500 dollari eest reklaamitud pahavarast sai kiiresti ohtude tegijate eelistatud valik. Ründajad on seda kasutanud ClickFixi-stiilis kampaaniates, pettes kasutajaid läbi legitiimsete, kuid ohustatud veebisaitide.
Sisukord
Kohaletoimetamise taktika ja arenevad ohuvektorid
Pahavara levitamistehnikad on muutunud üha keerukamaks. Esialgsed kampaaniad tuginesid suuresti andmepüügimeilidele, mis suunasid ohvreid pahatahtlikele Google Drive'i linkidele. Aja jooksul laiendasid ründajad oma arsenali, et lisada:
- Ohutatud saitidelt allalaaditavad failid
- Pahatahtlikud MSI installijad
- Pahatahtliku reklaami kampaaniad
Matanbuchust on täheldatud juurutamas teiseseid kasulikke ressursse nagu DanaBot, QakBot ja Cobalt Strike, mida sageli kasutatakse lunavaranakkuste hüppelauana.
Matanbuchus 3.0: Täiustatud võimalused ja funktsioonid
Uusim versioon, Matanbuchus 3.0, pakub olulisi täiustusi varjatuse ja püsivuse parandamiseks. Peamised uuendused hõlmavad järgmist:
- Täiustatud sideprotokolli tehnikad
- Mälusisene täitmine varjatuse eesmärgil
- Täiustatud hägustamine avastamise vältimiseks
- Pöördkesta tugi CMD ja PowerShelli kaudu
- Võimalus käivitada DLL-, EXE- ja shellcode-faile
See areng rõhutab pahavara rolli täiustatud mitmeastmeliste rünnakute hõlbustamisel.
Reaalses maailmas ärakasutamine: sotsiaalne manipuleerimine Microsoft Teamsi kaudu
Teadlased paljastasid 2025. aasta juulis toimunud kampaania, mis oli suunatud nimetu ettevõtte vastu. Ründajad esinesid Microsoft Teamsi väliste kõnede ajal IT-toeteenistuse töötajatena, veendes töötajaid kaugjuurdepääsu saamiseks käivitama Quick Assist'i. See võimaldas neil käivitada PowerShelli skripti, mis juurutas Matanbuchuse.
Sellised taktikad peegeldavad sotsiaalse manipuleerimise meetodeid, mida varem seostati lunavaragrupeeringuga Black Basta, mis viitab laaduri ja lunavaraoperatsioonide üha suurenevale kattumisele.
Kapoti all: nakkusahel ja püsivus
Kui ohvrid on antud skripti käivitanud, laaditakse alla arhiiv. Sees on:
- Ümbernimetatud Notepad++ uuendaja (GUP)
- Muudetud XML-konfiguratsioonifail
- Pahatahtlik DLL, mis esindab laadurit
Pärast käivitamist kogub Matanbuchus süsteemiandmeid, kontrollib turvatööriistu ja kinnitab privileegide tasemed enne üksikasjade edastamist oma Command-and-Control (C2) serverile. Seejärel edastatakse täiendavad kasulikud koormused MSI-pakettide või käivitatavate failidena. Püsivus saavutatakse ajastatud ülesannete loomisega COM-objektide abil ja shell-koodi süstimisega – tehnika, mis ühendab lihtsuse ja keerukuse.
Varjatus ja kontroll: miks see on ohtlik
Laadur toetab täiustatud funktsioone, sealhulgas WQL-päringuid ja kaugkäsklusi protsesside, teenuste ja installitud rakenduste kohta teabe kogumiseks. See suudab käivitada süsteemikäsklusi, näiteks regsvr32, rundll32, msiexec, ja isegi protsesside õõnestamist, mis rõhutab selle paindlikkust.
Hinnakujundus ja ohu taga olev ärimudel
Selle MaaS-platvormi hinnad on oma funktsioonide komplekti tõttu hüppeliselt tõusnud:
- 10 000 dollarit kuus HTTPS-versiooni eest
- DNS-versiooni eest 15 000 dollarit kuus
Sellised kulud peegeldavad pahavara tõhusust ja nõudlust küberkuritegevuse ökosüsteemis.
Matanbuchus ja MaaS-i evolutsiooni suurem pilt
Uusim versioon kehastab trendi, kus salajased laadurid kasutavad märkamata jäämiseks ära LOLBin'e, COM-kaaperdamist ja PowerShelli stagereid. Selle koostöövahendite (nt Microsoft Teams ja Zoom) kuritarvitamine muudab ettevõtte turvalisuse veelgi keerulisemaks. Teadlased rõhutavad laadurite tuvastamise integreerimist rünnakupindade haldamisse, kuna need ohud arenevad pidevalt.
