다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 Matanbuchus 3.0 맬웨어

Matanbuchus 3.0 맬웨어

멀웨어년에 Mezo 년까지
번역 :

마탄부쿠스(Matanbuchus)는 악명 높은 서비스형 맬웨어(Malware-as-a-Service) 플랫폼으로, 코발트 스트라이크(Cobalt Strike) 비콘이나 랜섬웨어와 같은 차세대 페이로드를 배포하도록 설계되었습니다. 2021년 2월 러시아어 포럼에서 2,500달러에 처음 홍보된 이 맬웨어는 순식간에 위협 행위자들의 주요 공격 수단으로 자리 잡았습니다. 공격자들은 클릭픽스(ClickFix) 방식의 캠페인에 마탄부쿠스를 활용하여, 합법적이지만 감염된 웹사이트로 사용자를 유인했습니다.

배달 전략과 진화하는 위협 벡터

악성코드의 배포 기법은 점점 더 정교해졌습니다. 초기 공격은 피해자를 악성 Google Drive 링크로 유도하는 피싱 이메일에 크게 의존했습니다. 시간이 지남에 따라 공격자들은 다음과 같은 공격 기법을 추가로 활용했습니다.

  • 손상된 사이트에서의 드라이브바이 다운로드
  • 악성 MSI 설치 프로그램
  • 악성 광고 캠페인

Matanbuchus는 DanaBot, QakBot, Cobalt Strike와 같은 2차 페이로드를 배포하는 것으로 관찰되었는데, 이는 종종 랜섬웨어 감염의 디딤돌로 사용됩니다.

Matanbuchus 3.0: 고급 기능 및 특징

최신 버전인 Matanbuchus 3.0에서는 은밀성과 지속성을 향상시키는 상당한 개선 사항이 도입되었습니다. 주요 업그레이드 내용은 다음과 같습니다.

  • 고급 통신 프로토콜 기술
  • 스텔스를 위한 메모리 내 실행
  • 탐지를 피하기 위한 향상된 난독화
  • CMD 및 PowerShell을 통한 역방향 셸 지원
  • DLL, EXE 및 셸코드 페이로드를 실행하는 기능

이러한 진화는 맬웨어가 고도의 다단계 공격을 용이하게 하는 역할을 한다는 것을 보여줍니다.

실제 악용: Microsoft Teams를 통한 소셜 엔지니어링

연구원들은 2025년 7월에 익명의 회사를 표적으로 삼은 캠페인을 발견했습니다. 공격자들은 외부 Microsoft Teams 통화 중에 IT 헬프 데스크 직원을 사칭하여 직원들이 원격 접속을 위해 빠른 지원(Quick Assist)을 실행하도록 유도했습니다. 이를 통해 Matanbuchus를 배포하는 PowerShell 스크립트를 실행할 수 있었습니다.

이러한 전술은 이전에 Black Basta 랜섬웨어 그룹과 연관이 있었던 사회 공학적 방법을 반영한 것으로, 로더와 랜섬웨어 작업 간에 중복이 증가하고 있음을 나타냅니다.

후드 아래: 감염 사슬과 지속성

피해자가 제공된 스크립트를 실행하면 아카이브가 다운로드됩니다. 내용은 다음과 같습니다.

  • 이름이 변경된 Notepad++ 업데이터(GUP)
  • 수정된 XML 구성 파일
  • 로더를 나타내는 악성 DLL

실행 후, Matanbuchus는 시스템 데이터를 수집하고, 보안 도구를 확인하고, 권한 수준을 확인한 후 명령 및 제어(C2) 서버로 세부 정보를 전송합니다. 추가 페이로드는 MSI 패키지 또는 실행 파일로 제공됩니다. COM 객체를 사용하여 예약된 작업을 생성하고 셸코드를 삽입하여 지속성을 확보하는데, 이는 단순성과 정교함을 모두 갖춘 기법입니다.

스텔스와 통제: 왜 위험한가

이 로더는 프로세스, 서비스 및 설치된 애플리케이션에 대한 세부 정보를 수집하는 WQL 쿼리 및 원격 명령을 포함한 고급 기능을 지원합니다. regsvr32, rundll32, msiexec와 같은 시스템 명령을 실행할 수 있으며, 프로세스 할로잉(process hollowing) 기능도 수행할 수 있어 유연성이 뛰어납니다.

위협의 배후에 있는 가격 책정 및 비즈니스 모델

이 MaaS 플랫폼은 다음과 같은 기능 세트로 인해 가격이 급등했습니다.

  • HTTPS 버전의 경우 월 10,000달러
  • DNS 버전의 경우 월 15,000달러

이러한 비용은 사이버범죄 생태계에서 맬웨어의 효과와 수요를 반영합니다.

Matanbuchus와 MaaS 진화의 더 큰 그림

최신 버전은 LOLBins, COM 하이재킹, PowerShell 스테이저를 활용하여 탐지되지 않는 스텔스 우선 로더의 추세를 잘 보여줍니다. Microsoft Teams 및 Zoom과 같은 협업 도구의 악용은 기업 보안을 더욱 복잡하게 만듭니다. 연구원들은 이러한 위협이 계속 진화함에 따라 로더 탐지 기능을 공격 표면 관리에 통합할 것을 강조합니다.

트렌드

Gerolax 암호화폐 사기

불량 웹사이트
디지털 금융이 끊임없이 발전함에 따라, 이를 악용하는 사기 수법도 함께 발전하고 있습니다. 사이버 범죄자들은 소셜 엔지니어링, 딥페이크, 그리고 암호화폐의 탈중앙화 특성을 악용하여 사기 행위를 저지르는 등 수법이 점점 더 정교해지고 있습니다. 제롤락스 암호화폐 사기(Gerolax Crypto Scam)는 합법적인 암호화폐 거래 플랫폼으로 교묘하게...

주문 사기

멀웨어, 피싱, 스팸
디지털 시대에 이메일은 가장 흔한 의사소통 도구 중 하나이자 가장 많이 남용되는 도구 중 하나입니다. 온라인에서 유포되는 수많은 악성 이메일 캠페인 중 소위 '주문 배치 사기'는 사이버 범죄자들이 어떻게 속임수와 사회 공학을 이용하여 악성 코드를 유포하고 피해자의 시스템을 손상시키는지 보여주는 명백한 사례입니다. 이 캠페인은 설득력 있는...

계정 비밀번호가 오래된 이메일 사기입니다

피싱, 스팸
사기꾼들은 의심하지 않는 사용자들을 속여 민감한 정보를 빼내기 위해 계속해서 사기성 이메일 캠페인을 벌이고 있습니다. 현재 유포되고 있는 그러한 사기 중 하나는 '긴급 보안 알림' 이메일 사기로, 특히 '계정 비밀번호가 오래되었습니다'라는 제목의 메시지를 가장하고 있습니다. 언뜻 보기에는 합법적인 것처럼 보이지만, 이러한 이메일은 사기성이 있으며 디지털 개인 정보 보호 및 보안에 심각한 위협을 가합니다. 이러한 사기의 작동 방식과 잠재적인 결과로부터 자신을 보호하는 방법을 이해하는 것이 중요합니다. 실제 결과를 초래하는 가짜 경고 이 사기 이메일은 수신자의 이메일 계정 비밀번호가 만료일이 지났으며 곧 만료될 것이라고 주장합니다. 일반적으로 가짜 마감일을 표시하고 사용자에게...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
59,326
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
46,379
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
45,845
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...