Matanbuchus 3.0 ļaunprogrammatūra
Matanbuchus ir bēdīgi slavena ļaunprogrammatūras kā pakalpojuma platforma, kas paredzēta nākamās pakāpes vērtuma, piemēram, Cobalt Strike bākuguņu un izspiedējvīrusu, piegādei. Pirmo reizi reklamētā ļaunprogrammatūra tika reklamēta 2021. gada februārī krievvalodīgos forumos par 2500 ASV dolāriem, un tā ātri kļuva par iecienītu izvēli apdraudējumu veidotājiem. Uzbrucēji to ir izmantojuši ClickFix stila kampaņās, apmānot lietotājus, izmantojot likumīgas, bet apdraudētas tīmekļa vietnes.
Satura rādītājs
Piegādes taktika un mainīgie draudu vektori
Ļaunprogrammatūras izplatīšanas metodes ir kļuvušas arvien sarežģītākas. Sākotnējās kampaņas lielā mērā balstījās uz pikšķerēšanas e-pastiem, kas upurus novirzīja uz ļaunprātīgām Google diska saitēm. Laika gaitā uzbrucēji paplašināja savu arsenālu, iekļaujot:
- Automātiskas lejupielādes no apdraudētām vietnēm
- Ļaunprātīgi MSI instalētāji
- Ļaunprātīgas reklāmas kampaņas
Ir novērots, ka Matanbuchus izvieto sekundāras vērtuma programmas, piemēram, DanaBot, QakBot un Cobalt Strike, kuras bieži tiek izmantotas kā atspēriena punkti izspiedējvīrusu infekcijām.
Matanbuchus 3.0: paplašinātas iespējas un funkcijas
Jaunākā versija, Matanbuchus 3.0, ievieš būtiskus uzlabojumus, lai uzlabotu slepenību un noturību. Galvenie uzlabojumi ietver:
- Uzlabotas komunikācijas protokola metodes
- Izpilde atmiņā slepenības nolūkos
- Uzlabota obfuskācija, lai izvairītos no atklāšanas
- Apgrieztā čaulas atbalsts, izmantojot CMD un PowerShell
- Spēja palaist DLL, EXE un shellcode lietderīgās slodzes
Šī evolūcija uzsver ļaunprogrammatūras lomu progresīvu, daudzpakāpju uzbrukumu veicināšanā.
Reālās pasaules ekspluatācija: sociālā inženierija, izmantojot Microsoft Teams
Pētnieki atklāja 2025. gada jūlijā īstenotu kampaņu, kuras mērķis bija nenosaukts uzņēmums. Uzbrucēji ārējo Microsoft Teams zvanu laikā uzdevās par IT atbalsta dienesta darbiniekiem, pārliecinot darbiniekus palaist Quick Assist attālinātai piekļuvei. Tas ļāva viņiem izpildīt PowerShell skriptu, izvietojot Matanbuchus.
Šāda taktika atspoguļo sociālās inženierijas metodes, kas iepriekš bija saistītas ar izspiedējvīrusu grupu Black Basta, norādot uz pieaugošu ielādētāja un izspiedējvīrusu darbību pārklāšanos.
Zem pārsega: infekcijas ķēde un noturība
Kad upuri palaiž sniegto skriptu, tiek lejupielādēts arhīvs. Tajā atrodas:
- Pārdēvēts Notepad++ atjauninātājs (GUP)
- Modificēts XML konfigurācijas fails
- Ļaunprātīgs DLL, kas attēlo ielādētāju
Pēc izpildes Matanbuchus apkopo sistēmas datus, pārbauda drošības rīkus un apstiprina privilēģiju līmeņus, pirms pārsūta informāciju uz savu Command-and-Control (C2) serveri. Papildu vērtuma dati pēc tam tiek piegādāti kā MSI pakotnes vai izpildāmie faili. Noturība tiek panākta, izveidojot ieplānotus uzdevumus, izmantojot COM objektus, un ievadot apvalkkodu — tehniku, kas apvieno vienkāršību un izsmalcinātību.
Slepenība un kontrole: kāpēc tā ir bīstama
Ielādētājs atbalsta uzlabotas funkcijas, tostarp WQL vaicājumus un attālinātas komandas, lai apkopotu informāciju par procesiem, pakalpojumiem un instalētajām lietojumprogrammām. Tas var izpildīt sistēmas komandas, piemēram, regsvr32, rundll32, msiexec, un pat veikt procesu tukšošanu, kas uzsver tā elastību.
Cenu noteikšana un draudu pamatā esošais biznesa modelis
Šīs MaaS platformas cenas ir strauji pieaugušas, pateicoties tās funkciju kopumam:
- 10 000 ASV dolāru mēnesī par HTTPS versiju
- 15 000 ASV dolāru mēnesī par DNS versiju
Šādas izmaksas atspoguļo ļaunprogrammatūras efektivitāti un pieprasījumu kibernoziedzības ekosistēmā.
Matanbuhs un plašāks MaaS evolūcijas attēls
Jaunākā versija iemieso tendenci uz nemanāmiem ielādētājiem, kas izmanto LOLBins, COM nolaupīšanu un PowerShell testēšanas rīkus, lai paliktu nepamanīti. Tās ļaunprātīga izmantošana sadarbības rīkos, piemēram, Microsoft Teams un Zoom, vēl vairāk sarežģī uzņēmumu drošību. Pētnieki uzsver ielādētāju noteikšanas integrēšanu uzbrukuma virsmas pārvaldībā, jo šie apdraudējumi turpina attīstīties.
