Matanbuchus 악성 코드

Matanbuchus Malware는 지하 해커 포럼 및 마켓 플레이스에서 서비스로서의 맬웨어 (MaaS) 방식으로 제공되는 위협적인 로더입니다. Matanbuchus의 제작자는 BelialDemon이라는 이름으로 활동하는 위협 행위자입니다. 판매 피치에 따르면, 잠재적 인 고객은 위협에 접근하기 위해 초기 임대료 $ 2500를 지불해야합니다. 로더라고하는 맬웨어 하위 집합은 일반적으로 공격 체인의 초기 단계에서 삭제되는 위협이며 손상된 시스템에서 다음 단계 페이로드를 가져온 다음 실행하는 역할을합니다. 일반적으로 Matanbuchus는 메모리에서 .exe 및 .dll 파일 실행, PowerShell 명령 실행, schtasks.exe를 사용하여 작업 일정 변경, 독립 실행 형 실행 파일 강제 실행 특정 DLL을로드합니다.

초기 공격 벡터

Matanbuchus를 발견 한 Palo Alto Networks의 Unit 42의 infosec 연구원은 해커가 위협을 전달하는 데 사용하는 수단을 결정할 수있었습니다. 공격의 초기 벡터는 손상된 매크로를 포함하는 미끼 Microsoft Excel 문서입니다. 위협 행위자들은 일반적인 무기화 된 Microsoft Word 문서를 버리고 Excel 파일로 전환하는 추세가 계속되고 있습니다. 설명은 매우 간단합니다. Excel의 기본 제공 특성을 사용하면 위협 행위자가 문서의 스프레드 시트 셀 전체에 손상된 코드를 배포하여 난독 화 수준을 달성하고 분석 및 탐지를 훨씬 더 어렵게 만들 수 있습니다. 사용자가 Excel 파일을 실행하고 매크로를 활성화하면 파일로 손상된 코딩이 특정 위치 (idea-secure-login [.] com)에서 'ddg.dll'이라는 DLL 파일을 가져옵니다. 파일은 피해자의 시스템에 'hcRlCTg.dll'로 저장됩니다. 사실 이것은 Matanbuchus Malware의 DLL 파일입니다.

Matanbuchus 악성 코드의 구조

로더 위협은 MatanbuchusDroper.dll 및 Matanbuchus.dll의 두 가지 DLL 파일로 구성됩니다. 이름에서 알 수 있듯이 첫 번째 파일의 주요 기능은 주요 맬웨어 파일을 전달하는 것입니다. 그러나 또한 GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime 및 QueryPerformanceCounter를 통해 샌드 박스 또는 디버깅 도구에 대한 네이티브 환경을 확인합니다. 다음 단계는 'AveBelial.xml'이라는 XML 파일을 위장하여 기본 Matanbuchus DLL을 다운로드하는 것입니다. 위협은 새로 드롭 된 DLL 파일을 실행하는 예약 된 작업을 생성하여 지속성 메커니즘을 활성화합니다.

Matanbuchus는 일반적인 시스템 파일 이름의 근사치를 사용하여 네이티브 시스템 내에서 파일을 혼합하려고합니다. 예를 들어 합법적 인 shell32 또는 shell64 대신 위협 요소의 이름은 기본 구성 요소 shell96입니다. Matanbuchus.dll은 다른 DLL 파일과 유사하지만 해커는 문자열과 실행 코드를 마스킹하기 위해 추가 난독 화 및 인코딩 기술을 갖추는 데 더 많은 시간을 소비했습니다.

사용자와 조직은 이미 전 세계의 공격 캠페인에 활용되고 있으므로 위협을 주시해야합니다. 지금까지 Matanbuchus Malware는 대규모 미국 대학과 고등학교가있는 여러 조직과 벨기에의 하이테크 조직이 희생자 중 하나 인 여러 조직에 배포되었습니다.