بدافزار Matanbuchus 3.0

Matanbuchus یک پلتفرم بدنام Malware-as-a-Service است که برای ارائه payloadهای مرحله بعدی مانند Cobalt Strike beacons و باج‌افزار طراحی شده است. این بدافزار که اولین بار در فوریه 2021 در انجمن‌های روسی زبان با قیمت 2500 دلار تبلیغ شد، به سرعت به انتخاب اصلی عاملان تهدید تبدیل شد. مهاجمان از آن در کمپین‌هایی به سبک ClickFix استفاده کرده‌اند و کاربران را از طریق وب‌سایت‌های قانونی اما آسیب‌پذیر فریب می‌دهند.

تاکتیک‌های ارائه و بردارهای تهدید در حال تکامل

تکنیک‌های توزیع این بدافزار به طور فزاینده‌ای پیچیده شده‌اند. کمپین‌های اولیه به شدت به ایمیل‌های فیشینگ متکی بودند که قربانیان را به لینک‌های مخرب گوگل درایو هدایت می‌کردند. با گذشت زمان، مهاجمان زرادخانه خود را گسترش دادند و شامل موارد زیر شدند:

• دانلودهای ناخواسته از سایت‌های آلوده
• نصب‌کننده‌های مخرب MSI
• کمپین‌های تبلیغات مخرب

مشاهده شده است که Matanbuchus در حال استقرار پیلودهای ثانویه مانند DanaBot، QakBot و Cobalt Strike است که اغلب به عنوان سنگ بنای آلودگی‌های باج‌افزاری مورد استفاده قرار می‌گیرند.

Matanbuchus 3.0: قابلیت‌ها و ویژگی‌های پیشرفته

آخرین نسخه، Matanbuchus 3.0، پیشرفت‌های قابل توجهی را برای بهبود پنهان‌کاری و پایداری ارائه می‌دهد. ارتقاءهای کلیدی عبارتند از:

• تکنیک‌های پیشرفته پروتکل ارتباطی
• اجرای درون حافظه‌ای برای مخفی‌کاری
• مبهم‌سازی پیشرفته برای جلوگیری از شناسایی
• پشتیبانی از پوسته معکوس از طریق CMD و PowerShell
• قابلیت اجرای فایل‌های مخرب DLL، EXE و shellcode

این تکامل، نقش بدافزار را در تسهیل حملات پیشرفته و چند مرحله‌ای برجسته می‌کند.

بهره‌برداری در دنیای واقعی: مهندسی اجتماعی از طریق مایکروسافت تیمز

محققان یک کمپین در جولای ۲۰۲۵ را کشف کردند که یک شرکت ناشناس را هدف قرار داده بود. مهاجمان در طول تماس‌های خارجی مایکروسافت تیمز، خود را به جای پرسنل پشتیبانی فناوری اطلاعات جا زدند و کارمندان را متقاعد کردند که برای دسترسی از راه دور، Quick Assist را اجرا کنند. این کار به آنها اجازه داد تا یک اسکریپت PowerShell را اجرا کنند که Matanbuchus را مستقر می‌کرد.

چنین تاکتیک‌هایی، روش‌های مهندسی اجتماعی را که قبلاً به گروه باج‌افزار Black Basta مرتبط بودند، منعکس می‌کنند و نشان‌دهنده‌ی همپوشانی فزاینده بین عملیات‌های لودر و باج‌افزار هستند.

زیر کاپوت: زنجیره عفونت و پایداری

هنگامی که قربانیان اسکریپت ارائه شده را اجرا می‌کنند، یک بایگانی دانلود می‌شود. محتویات داخل آن عبارتند از:

• به‌روزرسانی تغییر نام‌یافته‌ی Notepad++ (GUP)
• یک فایل پیکربندی XML اصلاح‌شده
• یک DLL مخرب که نشان دهنده لودر است

پس از اجرا، Matanbuchus داده‌های سیستم را جمع‌آوری می‌کند، ابزارهای امنیتی را بررسی می‌کند و سطوح امتیاز را قبل از ارسال جزئیات به سرور فرماندهی و کنترل (C2) خود تأیید می‌کند. سپس بارهای اضافی به عنوان بسته‌های MSI یا فایل‌های اجرایی تحویل داده می‌شوند. ماندگاری با ایجاد وظایف زمان‌بندی شده با استفاده از اشیاء COM و تزریق shellcode حاصل می‌شود، تکنیکی که سادگی و پیچیدگی را با هم ترکیب می‌کند.

مخفی‌کاری و کنترل: چرا خطرناک است

این لودر از ویژگی‌های پیشرفته‌ای از جمله کوئری‌های WQL و دستورات از راه دور برای جمع‌آوری جزئیات فرآیندها، سرویس‌ها و برنامه‌های نصب شده پشتیبانی می‌کند. این لودر می‌تواند دستورات سیستمی مانند regsvr32، rundll32، msiexec را اجرا کند و حتی فرآیند توخالی را انجام دهد که انعطاف‌پذیری آن را برجسته می‌کند.

قیمت‌گذاری و مدل کسب‌وکار پشت این تهدید

این پلتفرم MaaS با توجه به مجموعه ویژگی‌هایش، قیمت‌های سرسام‌آوری داشته است:

• ۱۰،۰۰۰ دلار در ماه برای نسخه HTTPS
• ۱۵۰۰۰ دلار در ماه برای نسخه DNS

چنین هزینه‌هایی نشان دهنده اثربخشی و تقاضای بدافزار در اکوسیستم جرایم سایبری است.

ماتانبوخوس و تصویر بزرگتر از تکامل MaaS

آخرین نسخه، روند به سمت لودرهای مخفی‌کاری را که از LOLBins، ربودن COM و استیجرهای PowerShell برای ناشناخته ماندن استفاده می‌کنند، به تصویر می‌کشد. سوءاستفاده آن از ابزارهای همکاری مانند Microsoft Teams و Zoom، امنیت سازمانی را پیچیده‌تر می‌کند. محققان بر ادغام تشخیص لودر در مدیریت سطح حمله تأکید دارند، زیرا این تهدیدها همچنان در حال تکامل هستند.