Perisian hasad Matanbuchus 3.0

Matanbuchus ialah platform Malware-as-a-Service terkenal yang direka untuk menyampaikan muatan peringkat seterusnya seperti suar Cobalt Strike dan perisian tebusan. Mula-mula dipromosikan pada Februari 2021 di forum berbahasa Rusia dengan harga $2,500, perisian hasad dengan cepat menjadi pilihan utama bagi pelakon ancaman. Penyerang telah menggunakannya dalam kempen gaya ClickFix, menipu pengguna melalui tapak web yang sah namun terjejas.

Taktik Penyampaian dan Vektor Ancaman yang Berkembang

Teknik pengedaran perisian hasad telah berkembang dengan lebih canggih. Kempen awal sangat bergantung pada e-mel pancingan data yang mengarahkan mangsa kepada pautan Google Drive yang berniat jahat. Dari masa ke masa, penyerang mengembangkan senjata mereka untuk memasukkan:

• Muat turun pandu mengikut daripada tapak yang terjejas
• Pemasang MSI berniat jahat
• Kempen malvertising

Matanbuchus telah diperhatikan menggunakan muatan sekunder seperti DanaBot, QakBot, dan Cobalt Strike, yang sering digunakan sebagai batu loncatan kepada jangkitan ransomware.

Matanbuchus 3.0: Keupayaan dan Ciri Lanjutan

Lelaran terkini, Matanbuchus 3.0, memperkenalkan penambahbaikan yang ketara untuk menambah baik stealth dan ketekunan. Peningkatan utama termasuk:

• Teknik protokol komunikasi lanjutan
• Pelaksanaan dalam ingatan untuk bersembunyi
• Kekeliruan dipertingkatkan untuk mengelakkan pengesanan
• Sokongan shell terbalik melalui CMD dan PowerShell
• Keupayaan untuk melancarkan muatan DLL, EXE dan kod shell

Evolusi ini menekankan peranan perisian hasad dalam memudahkan serangan berbilang peringkat lanjutan.

Eksploitasi Dunia Sebenar: Kejuruteraan Sosial melalui Microsoft Teams

Penyelidik menemui kempen Julai 2025 yang menyasarkan syarikat yang tidak dinamakan. Penyerang menyamar sebagai kakitangan meja bantuan IT semasa panggilan Microsoft Teams luaran, memujuk pekerja untuk melancarkan Quick Assist untuk akses jauh. Ini membolehkan mereka melaksanakan skrip PowerShell yang menggunakan Matanbuchus.

Taktik sedemikian mencerminkan kaedah kejuruteraan sosial yang sebelum ini dikaitkan dengan kumpulan ransomware Black Basta, menunjukkan pertindihan yang semakin meningkat antara operasi pemuat dan perisian tebusan.

Di Bawah Tudung: Rantaian Jangkitan dan Kegigihan

Setelah mangsa menjalankan skrip yang disediakan, arkib dimuat turun. Di dalam adalah:

• Pengemas kini Notepad++ (GUP) yang dinamakan semula
• Fail konfigurasi XML yang diubah suai
• DLL berniat jahat yang mewakili pemuat

Selepas pelaksanaan, Matanbuchus mengumpul data sistem, menyemak alat keselamatan, dan mengesahkan tahap keistimewaan sebelum menghantar butiran ke pelayan Command-and-Control (C2)nya. Muatan tambahan kemudiannya dihantar sebagai pakej MSI atau boleh laku. Kegigihan dicapai dengan mencipta tugas berjadual menggunakan objek COM dan menyuntik shellcode, teknik yang menggabungkan kesederhanaan dan kecanggihan.

Stealth dan Kawalan: Mengapa Ia Berbahaya

Pemuat menyokong ciri lanjutan, termasuk pertanyaan WQL dan arahan jauh untuk mengumpulkan butiran tentang proses, perkhidmatan dan aplikasi yang dipasang. Ia boleh melaksanakan perintah sistem seperti regsvr32, rundll32, msiexec, dan juga melakukan proses hollowing, menyerlahkan fleksibilitinya.

Harga dan Model Perniagaan di Sebalik Ancaman

Platform MaaS ini telah menyaksikan harganya meroket dengan set cirinya:

• $10,000/bulan untuk versi HTTPS
• $15,000/bulan untuk versi DNS

Kos sedemikian mencerminkan keberkesanan dan permintaan perisian hasad dalam ekosistem jenayah siber.

Matanbuchus dan Gambaran Besar Evolusi MaaS

Versi terbaharu melambangkan trend ke arah pemuat siluman yang memanfaatkan LOLBins, rampasan COM dan pentas PowerShell untuk kekal tidak dapat dikesan. Penyalahgunaan alatan kerjasama seperti Microsoft Teams dan Zoom merumitkan lagi keselamatan perusahaan. Penyelidik menekankan penyepaduan pengesanan pemuat ke dalam pengurusan permukaan serangan kerana ancaman ini terus berkembang.