Matanbuchus-malware
De Matanbuchus Malware is een bedreigende loader die wordt aangeboden in een malware-as-a-service-schema (MaaS) op ondergrondse hackerforums en marktplaatsen. De maker van de Matanbuchus is een bedreigingsacteur die opereert onder de naam BelialDemon. Volgens het verkooppraatje zouden potentiële klanten een initiële huurprijs van $ 2500 moeten betalen om toegang te krijgen tot de dreiging. De malware-subset die bekend staat als loaders, zijn meestal bedreigingen die in de vroege stadia van de aanvalsketen worden verwijderd en zijn verantwoordelijk voor het ophalen en uitvoeren van de volgende fase van payloads op de aangetaste systemen. Over het algemeen houdt Matanbuchus vast aan zijn rol, met als belangrijkste snode mogelijkheden: het starten van .exe- en .dll-bestanden in het geheugen, het uitvoeren van PowerShell-opdrachten, het gebruik van schtasks.exe om te knoeien met taakschema's en de mogelijkheid om stand-alone uitvoerbare bestanden te forceren om laad een specifieke DLL.
Initiële aanvalsvector
De infosec-onderzoekers van Palo Alto Networks' Unit 42 die Matanbuchus ontdekten, waren ook in staat om de middelen te bepalen die door hackers werden gebruikt om de dreiging af te leveren. De eerste vector voor de aanvallen is een lokken Microsoft Excel-document dat beschadigde macro's bevat. Bedreigingsactoren hebben een aanhoudende trend laten zien door de gebruikelijke bewapende Microsoft Word-documenten achter zich te laten en over te schakelen naar Excel-bestanden. De verklaring is vrij eenvoudig: dankzij de ingebouwde kenmerken van Excel kunnen de bedreigingsactoren hun beschadigde code door de spreadsheetcellen van het document verspreiden, waardoor een niveau van verduistering wordt bereikt en analyse en detectie veel moeilijker worden. Wanneer de gebruiker het Excel-bestand uitvoert en de macro's ervan inschakelt, zal de gecompromitteerde codering met het bestand een DLL-bestand met de naam 'ddg.dll' ophalen van een specifieke locatie (idea-secure-login[.]com). Het bestand wordt dan op het systeem van het slachtoffer opgeslagen als 'hcRlCTg.dll'. Dit is in feite het DLL-bestand van de Matanbuchus Malware.
Matanbuchus Malware-structuurware
De loader-dreiging bestaat uit twee DLL-bestanden: MatanbuchusDroper.dll en Matanbuchus.dll. Zoals de naam al doet vermoeden, is de primaire functie van het eerste bestand het leveren van het belangrijkste malwarebestand. Daarnaast controleert het echter ook de native omgeving op sandboxen of foutopsporingstools via GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime en QueryPerformanceCounter. De volgende stap is het downloaden van de primaire Matanbuchus DLL onder het mom van een XML-bestand met de naam 'AveBelial.xml.' De dreiging activeert een persistentiemechanisme door een geplande taak te genereren om het zojuist verwijderde DLL-bestand uit te voeren.
Matanbuchus probeert zijn bestanden binnen het systeemeigen systeem te mengen door benaderingen van typische systeembestandsnamen te gebruiken. Bijvoorbeeld, in plaats van de legitieme shell32 of shell64, noemt de bedreiging zijn hoofdcomponent shell96. Opgemerkt moet worden dat het Matanbuchus.dll vergelijkbaar is met het andere DLL-bestand, maar de hackers hebben veel meer tijd besteed aan het uitrusten van het met extra verduisterings- en coderingstechnieken om de tekenreeksen en uitvoerbare code te maskeren.
Gebruikers en organisaties moeten de dreiging in de gaten houden, aangezien deze al wordt gebruikt in aanvalscampagnes over de hele wereld. Tot nu toe is de Matanbuchus-malware ingezet tegen verschillende organisaties met een grote Amerikaanse universiteit en een middelbare school, evenals een hightechorganisatie uit België als slachtoffers.
