Zlonamjerni softver Matanbuchus 3.0
Matanbuchus je ozloglašena platforma Malware-as-a-Service osmišljena za isporuku sljedećeg paketa sadržaja poput Cobalt Strike beacona i ransomwarea. Prvi put promoviran u veljači 2021. na ruskogovornim forumima za 2500 dolara, zlonamjerni softver brzo je postao glavni izbor prijetnji. Napadači su ga koristili u kampanjama u stilu ClickFixa, varajući korisnike putem legitimnih, ali kompromitiranih web stranica.
Sadržaj
Taktike dostave i razvoj vektora prijetnji
Tehnike distribucije zlonamjernog softvera postale su sve sofisticiranije. Početne kampanje uvelike su se oslanjale na phishing e-poruke koje su žrtve usmjeravale na zlonamjerne poveznice na Google Drive. S vremenom su napadači proširili svoj arsenal i uključili:
- Drive-by preuzimanja s kompromitiranih web-mjesta
- Zlonamjerni MSI instalacijski programi
- Kampanje zlonamjernog oglašavanja
Primijećeno je da Matanbuchus koristi sekundarne programe poput DanaBot-a, QakBot-a i Cobalt Strike-a, koji se često koriste kao odskočna daska za infekcije ransomware-om.
Matanbuchus 3.0: Napredne mogućnosti i značajke
Najnovija iteracija, Matanbuchus 3.0, uvodi značajna poboljšanja za poboljšanje prikrivenosti i upornosti. Ključne nadogradnje uključuju:
- Napredne tehnike komunikacijskih protokola
- Izvršavanje u memoriji za prikrivenost
- Poboljšano zamagljivanje kako bi se izbjeglo otkrivanje
- Podrška za obrnutu ljusku putem CMD-a i PowerShella
- Mogućnost pokretanja DLL, EXE i shellcode datoteka
Ova evolucija naglašava ulogu zlonamjernog softvera u olakšavanju naprednih, višefaznih napada.
Iskorištavanje u stvarnom svijetu: Društveni inženjering putem Microsoft Teamsa
Istraživači su otkrili kampanju iz srpnja 2025. usmjerenu na neimenovanu tvrtku. Napadači su se lažno predstavljali kao osoblje IT službe za korisnike tijekom vanjskih poziva putem Microsoft Teamsa, nagovarajući zaposlenike da pokrenu Quick Assist za udaljeni pristup. To im je omogućilo izvršavanje PowerShell skripte koja je implementirala Matanbuchus.
Takve taktike odražavaju metode socijalnog inženjeringa koje su prethodno bile povezane s ransomware skupinom Black Basta, što ukazuje na sve veće preklapanje između operacija učitavanja i ransomwarea.
Ispod haube: Lanac infekcije i perzistencija
Nakon što žrtve pokrenu priloženi skript, preuzima se arhiva. Unutra se nalaze:
- Preimenovani program za ažuriranje Notepad++ (GUP)
- Izmijenjena XML konfiguracijska datoteka
- Zlonamjerni DLL koji predstavlja program za učitavanje
Nakon izvršenja, Matanbuchus prikuplja sistemske podatke, provjerava sigurnosne alate i potvrđuje razine privilegija prije nego što prenese detalje na svoj Command-and-Control (C2) poslužitelj. Dodatni korisni sadržaji se zatim isporučuju kao MSI paketi ili izvršne datoteke. Trajnost se postiže stvaranjem planiranih zadataka pomoću COM objekata i ubrizgavanjem shellcodea, tehnikom koja spaja jednostavnost i sofisticiranost.
Prikrivenost i kontrola: Zašto je to opasno
Učitavač podržava napredne značajke, uključujući WQL upite i udaljene naredbe za prikupljanje detalja o procesima, uslugama i instaliranim aplikacijama. Može izvršavati sistemske naredbe kao što su regsvr32, rundll32, msiexec, pa čak i izvoditi "praznjenje" procesa, što ističe njegovu fleksibilnost.
Cijene i poslovni model koji stoji iza prijetnje
Cijena ove MaaS platforme naglo je porasla zbog sljedećeg skupa značajki:
- 10.000 USD mjesečno za HTTPS verziju
- 15.000 USD mjesečno za DNS verziju
Takvi troškovi odražavaju učinkovitost i potražnju zlonamjernog softvera u ekosustavu kibernetičkog kriminala.
Matanbuchus i šira slika evolucije MaaS-a
Najnovija verzija utjelovljuje trend prikrivenih učitavača koji koriste LOLBins, otmicu COM-a i PowerShell stagere kako bi ostali neotkriveni. Zloupotreba alata za suradnju poput Microsoft Teamsa i Zooma dodatno komplicira sigurnost poduzeća. Istraživači naglašavaju integriranje otkrivanja učitavača u upravljanje površinom napada kako se te prijetnje nastavljaju razvijati.
