មេរោគ Matanbuchus 3.0

Matanbuchus គឺជាវេទិកា Malware-as-a-Service ដ៏ល្បីល្បាញដែលត្រូវបានរចនាឡើងដើម្បីផ្តល់នូវការផ្ទុកនៅដំណាក់កាលបន្ទាប់ដូចជា Cobalt Strike beacons និង ransomware ។ ត្រូវបានផ្សព្វផ្សាយជាលើកដំបូងនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2021 នៅលើវេទិកានិយាយភាសារុស្សីក្នុងតម្លៃ 2,500 ដុល្លារ មេរោគនេះបានក្លាយជាជម្រើសយ៉ាងលឿនសម្រាប់អ្នកគំរាមកំហែង។ អ្នកវាយប្រហារបានប្រើប្រាស់វានៅក្នុងយុទ្ធនាការរចនាប័ទ្ម ClickFix ដោយបញ្ឆោតអ្នកប្រើប្រាស់តាមរយៈគេហទំព័រស្របច្បាប់ដែលមិនទាន់មានការសម្របសម្រួល។

យុទ្ធសាស្ត្រចែកចាយ និងវិវឌ្ឍន៍នៃវ៉ិចទ័រគំរាមកំហែង

បច្ចេកទេសចែកចាយមេរោគបានរីកចម្រើនកាន់តែទំនើប។ យុទ្ធនាការដំបូងពឹងផ្អែកយ៉ាងខ្លាំងលើអ៊ីមែលបន្លំដែលដឹកនាំជនរងគ្រោះទៅកាន់តំណភ្ជាប់ Google Drive ដែលមានគំនិតអាក្រក់។ យូរ ៗ ទៅអ្នកវាយប្រហារបានពង្រីកឃ្លាំងអាវុធរបស់ពួកគេដើម្បីរួមបញ្ចូលៈ

• ការទាញយកដោយជំរុញពីគេហទំព័រដែលត្រូវបានសម្របសម្រួល
• កម្មវិធីដំឡើង MSI ព្យាបាទ
• យុទ្ធនាការផ្សព្វផ្សាយពាណិជ្ជកម្ម

Matanbuchus ត្រូវបានគេសង្កេតឃើញដាក់ពង្រាយបន្ទុកបន្ទាប់បន្សំដូចជា DanaBot, QakBot, និង Cobalt Strike ដែលជារឿយៗត្រូវបានគេប្រើជាជំហានឈានទៅរកការឆ្លងមេរោគ ransomware ។

Matanbuchus 3.0៖ សមត្ថភាព និងលក្ខណៈពិសេសកម្រិតខ្ពស់

ការធ្វើឡើងវិញចុងក្រោយបង្អស់ Matanbuchus 3.0 ណែនាំការកែលម្អយ៉ាងច្រើន ដើម្បីកែលម្អការបំបាំងកាយ និងការតស៊ូ។ ការធ្វើឱ្យប្រសើរឡើងសំខាន់ៗរួមមាន:

• បច្ចេកទេសពិធីការទំនាក់ទំនងកម្រិតខ្ពស់
• ការប្រតិបត្តិក្នុងអង្គចងចាំសម្រាប់ការបំបាំងកាយ
• បង្កើនភាពច្របូកច្របល់ ដើម្បីគេចពីការរកឃើញ
• ការគាំទ្រសែលបញ្ច្រាសតាមរយៈ CMD និង PowerShell
• សមត្ថភាពក្នុងការបើកដំណើរការ DLL, EXE, និង shellcode payloads

ការវិវត្តន៍នេះគូសបញ្ជាក់តួនាទីរបស់មេរោគក្នុងការសម្របសម្រួលការវាយប្រហារច្រើនដំណាក់កាលកម្រិតខ្ពស់។

ការកេងប្រវ័ញ្ចពិភពលោកពិត៖ វិស្វកម្មសង្គមតាមរយៈក្រុម Microsoft

អ្នកស្រាវជ្រាវបានរកឃើញយុទ្ធនាការខែកក្កដា ឆ្នាំ 2025 ដែលផ្តោតលើក្រុមហ៊ុនដែលមិនបញ្ចេញឈ្មោះ។ អ្នកវាយប្រហារបានក្លែងបន្លំជាបុគ្គលិកផ្នែកជំនួយផ្នែក IT កំឡុងពេលហៅខាងក្រៅក្រុម Microsoft Teams ដោយបញ្ចុះបញ្ចូលបុគ្គលិកឱ្យបើកដំណើរការ Quick Assist សម្រាប់ការចូលប្រើពីចម្ងាយ។ នេះអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិស្គ្រីប PowerShell ដែលដាក់ពង្រាយ Matanbuchus ។

យុទ្ធសាស្ត្របែបនេះឆ្លុះបញ្ចាំងពីវិធីសាស្រ្តវិស្វកម្មសង្គមដែលពីមុនបានភ្ជាប់ទៅក្រុម Black Basta ransomware ដែលបង្ហាញពីការត្រួតស៊ីគ្នាកាន់តែខ្លាំងឡើងរវាងប្រតិបត្តិការកម្មវិធីផ្ទុកទិន្នន័យ និង ransomware ។

នៅក្រោមក្រណាត់: ខ្សែសង្វាក់នៃការឆ្លងនិងការតស៊ូ

នៅពេលដែលជនរងគ្រោះដំណើរការស្គ្រីបដែលបានផ្តល់ ប័ណ្ណសារមួយត្រូវបានទាញយក។ នៅខាងក្នុងមាន៖

• កម្មវិធីអាប់ដេត Notepad++ ដែលបានប្តូរឈ្មោះ (GUP)
• ឯកសារកំណត់រចនាសម្ព័ន្ធ XML ដែលបានកែប្រែ
• DLL ព្យាបាទតំណាងឱ្យកម្មវិធីទាញយក

បន្ទាប់ពីការប្រតិបត្តិ Matanbuchus ប្រមូលទិន្នន័យប្រព័ន្ធ ពិនិត្យឧបករណ៍សុវត្ថិភាព និងបញ្ជាក់កម្រិតឯកសិទ្ធិ មុនពេលបញ្ជូនព័ត៌មានលម្អិតទៅម៉ាស៊ីនមេ Command-and-Control (C2) របស់វា។ បន្ទាប់មកបន្ទុកបន្ថែមត្រូវបានបញ្ជូនជាកញ្ចប់ MSI ឬអាចប្រតិបត្តិបាន។ ភាពស្ថិតស្ថេរត្រូវបានសម្រេចដោយការបង្កើតកិច្ចការដែលបានកំណត់ពេលដោយប្រើវត្ថុ COM និងចាក់បញ្ចូលកូដសែល ដែលជាបច្ចេកទេសដែលរួមបញ្ចូលគ្នានូវភាពសាមញ្ញនិងភាពទំនើប។

ការបំបាំងកាយ និងការគ្រប់គ្រង៖ ហេតុអ្វីបានជាវាមានគ្រោះថ្នាក់

កម្មវិធីផ្ទុកទិន្នន័យគាំទ្រមុខងារកម្រិតខ្ពស់ រួមទាំងសំណួរ WQL និងពាក្យបញ្ជាពីចម្ងាយ ដើម្បីប្រមូលព័ត៌មានលម្អិតអំពីដំណើរការ សេវាកម្ម និងកម្មវិធីដែលបានដំឡើង។ វាអាចប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធដូចជា regsvr32, rundll32, msiexec និងសូម្បីតែដំណើរការប្រហោងដោយបន្លិចភាពបត់បែនរបស់វា។

តម្លៃ និងគំរូអាជីវកម្មនៅពីក្រោយការគំរាមកំហែង

វេទិកា MaaS នេះបានឃើញតម្លៃកើនឡើងខ្ពស់ជាមួយនឹងសំណុំលក្ខណៈពិសេសរបស់វា៖

• $10,000/ខែ សម្រាប់កំណែ HTTPS
• $15,000/ខែ សម្រាប់កំណែ DNS

ការចំណាយបែបនេះឆ្លុះបញ្ចាំងពីប្រសិទ្ធភាព និងតម្រូវការរបស់មេរោគនៅក្នុងប្រព័ន្ធអេកូឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។

Matanbuchus និងរូបភាពធំជាងនៃការវិវត្តន៍ MaaS

កំណែចុងក្រោយបំផុតបង្ហាញពីនិន្នាការឆ្ពោះទៅរកកម្មវិធីបំបាំងកាយដំបូងដែលប្រើប្រាស់ LOLBins, COM hijacking និង PowerShell stagers ដើម្បីនៅតែមិនអាចរកឃើញបាន។ ការបំពានឧបករណ៍សហការដូចជា Microsoft Teams និង Zoom ធ្វើឱ្យមានភាពស្មុគស្មាញដល់សុវត្ថិភាពសហគ្រាស។ អ្នកស្រាវជ្រាវសង្កត់ធ្ងន់លើការរួមបញ្ចូលការរកឃើញឧបករណ៍ផ្ទុកទៅក្នុងការគ្រប់គ្រងលើផ្ទៃវាយប្រហារ នៅពេលដែលការគំរាមកំហែងទាំងនេះបន្តវិវត្ត។