Matanbuchus 3.0 Malware

Matanbuchus एक कुख्यात मालवेयर-एज-ए-सर्भिस प्लेटफर्म हो जुन कोबाल्ट स्ट्राइक बीकन र र्यान्समवेयर जस्ता अर्को चरणका पेलोडहरू प्रदान गर्न डिजाइन गरिएको हो। पहिलो पटक फेब्रुअरी २०२१ मा रूसी-भाषी फोरमहरूमा $२,५०० मा प्रचार गरिएको, मालवेयर चाँडै नै खतरा अभिनेताहरूको लागि एक मनपर्ने विकल्प बन्यो। आक्रमणकारीहरूले यसलाई ClickFix-शैली अभियानहरूमा प्रयोग गरेका छन्, जसले प्रयोगकर्ताहरूलाई वैध तर सम्झौता गरिएका वेबसाइटहरू मार्फत ठग्छन्।

डेलिभरी रणनीति र विकसित खतरा भेक्टरहरू

मालवेयरको वितरण प्रविधिहरू बढ्दो रूपमा परिष्कृत हुँदै गएका छन्। प्रारम्भिक अभियानहरू पीडितहरूलाई दुर्भावनापूर्ण गुगल ड्राइभ लिङ्कहरूमा निर्देशित गर्ने फिसिङ इमेलहरूमा धेरै निर्भर थिए। समयसँगै, आक्रमणकारीहरूले आफ्नो शस्त्रागार विस्तार गरे जसमा समावेश थिए:

• ह्याक गरिएका साइटहरूबाट ड्राइभ-बाई डाउनलोडहरू
• दुर्भावनापूर्ण MSI स्थापनाकर्ताहरू
• मालवर्टाइजिङ अभियानहरू

माटानबुचसले डानाबोट, ककबोट र कोबाल्ट स्ट्राइक जस्ता माध्यमिक पेलोडहरू तैनाथ गरेको अवलोकन गरिएको छ, जुन प्रायः र्यान्समवेयर संक्रमणको लागि पाइलाको रूपमा प्रयोग गरिन्छ।

Matanbuchus 3.0: उन्नत क्षमता र सुविधाहरू

पछिल्लो पुनरावृत्ति, Matanbuchus 3.0 ले चोरी र दृढता सुधार गर्न पर्याप्त सुधारहरू प्रस्तुत गर्दछ। प्रमुख अपग्रेडहरूमा समावेश छन्:

• उन्नत सञ्चार प्रोटोकल प्रविधिहरू
• चोरीको लागि इन-मेमोरी कार्यान्वयन
• पत्ता लगाउनबाट बच्न बढाइएको अस्पष्टता
• CMD र PowerShell मार्फत रिभर्स शेल समर्थन
• DLL, EXE, र शेलकोड पेलोडहरू सुरु गर्ने क्षमता

यो विकासले उन्नत, बहु-चरणीय आक्रमणहरूलाई सहजीकरण गर्न मालवेयरको भूमिकालाई जोड दिन्छ।

वास्तविक-विश्व शोषण: माइक्रोसफ्ट टोलीहरू मार्फत सामाजिक इन्जिनियरिङ

अनुसन्धानकर्ताहरूले जुलाई २०२५ मा एउटा नाम नखुलाइएको कम्पनीलाई लक्षित गरी गरिएको अभियान पत्ता लगाए। आक्रमणकारीहरूले बाह्य माइक्रोसफ्ट टिम्स कलहरूको क्रममा आईटी हेल्प डेस्क कर्मचारीहरूको नक्कल गरे, कर्मचारीहरूलाई रिमोट एक्सेसको लागि क्विक असिस्ट सुरु गर्न मनाउन थाले। यसले उनीहरूलाई माटानबुचस तैनाथ गर्ने पावरशेल स्क्रिप्ट कार्यान्वयन गर्न अनुमति दियो।

यस्ता रणनीतिहरूले पहिले ब्ल्याक बास्टा र्‍यान्समवेयर समूहसँग जोडिएका सामाजिक इन्जिनियरिङ विधिहरूलाई प्रतिबिम्बित गर्छन्, जसले लोडर र र्‍यान्समवेयर सञ्चालनहरू बीच बढ्दो ओभरल्यापलाई संकेत गर्दछ।

हुड मुनि: संक्रमण श्रृंखला र दृढता

पीडितहरूले प्रदान गरिएको स्क्रिप्ट चलाएपछि, एउटा अभिलेख डाउनलोड हुन्छ। भित्र छन्:

• पुन: नामाकरण गरिएको नोटप्याड++ अपडेटर (GUP)
• परिमार्जित XML कन्फिगरेसन फाइल
• लोडरको प्रतिनिधित्व गर्ने दुर्भावनापूर्ण DLL

कार्यान्वयन पछि, Matanbuchus ले प्रणाली डेटा सङ्कलन गर्दछ, सुरक्षा उपकरणहरूको लागि जाँच गर्दछ, र यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा विवरणहरू प्रसारण गर्नु अघि विशेषाधिकार स्तरहरू पुष्टि गर्दछ। त्यसपछि थप पेलोडहरू MSI प्याकेजहरू वा कार्यान्वयनयोग्य रूपमा डेलिभर गरिन्छ। COM वस्तुहरू प्रयोग गरेर निर्धारित कार्यहरू सिर्जना गरेर र शेलकोड इन्जेक्ट गरेर दृढता प्राप्त गरिन्छ, यो एक प्रविधि हो जसले सरलता र परिष्कारलाई मिश्रण गर्दछ।

चोरी र नियन्त्रण: यो किन खतरनाक छ

लोडरले प्रक्रियाहरू, सेवाहरू, र स्थापित अनुप्रयोगहरूमा विवरणहरू सङ्कलन गर्न WQL क्वेरीहरू र रिमोट आदेशहरू सहित उन्नत सुविधाहरूलाई समर्थन गर्दछ। यसले regsvr32, rundll32, msiexec जस्ता प्रणाली आदेशहरू कार्यान्वयन गर्न सक्छ, र यसको लचिलोपनलाई हाइलाइट गर्दै प्रक्रिया होलोइङ पनि गर्न सक्छ।

मूल्य निर्धारण र खतरा पछाडिको व्यापार मोडेल

यो MaaS प्लेटफर्मले यसको सुविधाहरू सेटको साथ यसको मूल्य आकाशिएको देखेको छ:

• HTTPS संस्करणको लागि $१०,०००/महिना
• DNS संस्करणको लागि $१५,०००/महिना

यस्ता लागतहरूले साइबर अपराध इकोसिस्टममा मालवेयरको प्रभावकारिता र मागलाई प्रतिबिम्बित गर्दछ।

मातानबुचस र मास इभोलुसनको ठूलो तस्वीर

पछिल्लो संस्करणले LOLBins, COM अपहरण, र PowerShell स्टेजरहरूको प्रयोग गरेर लुकेका स्टेल्थ-फर्स्ट लोडरहरू पत्ता नलाग्ने प्रवृत्तिको प्रतीक हो। माइक्रोसफ्ट टिम्स र जुम जस्ता सहयोग उपकरणहरूको यसको दुरुपयोगले उद्यम सुरक्षालाई अझ जटिल बनाउँछ। अनुसन्धानकर्ताहरूले यी खतराहरू विकसित हुँदै जाँदा आक्रमण सतह व्यवस्थापनमा लोडर पत्ता लगाउने कार्यलाई एकीकृत गर्न जोड दिन्छन्।