Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Matanbuchus 3.0 Malware

Matanbuchus 3.0 Malware

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Matanbuchus to znana platforma Malware-as-a-Service (Malware-as-a-Service), zaprojektowana do dostarczania ładunków nowej generacji, takich jak sygnalizatory Cobalt Strike i ransomware. Po raz pierwszy promowana w lutym 2021 roku na rosyjskojęzycznych forach za 2500 dolarów, ta szkodliwa aplikacja szybko stała się popularnym wyborem dla cyberprzestępców. Atakujący wykorzystywali ją w kampaniach w stylu ClickFix, oszukując użytkowników za pośrednictwem legalnych, ale zainfekowanych stron internetowych.

Taktyki dostarczania i ewoluujące wektory zagrożeń

Techniki dystrybucji złośliwego oprogramowania stają się coraz bardziej wyrafinowane. Początkowe kampanie opierały się głównie na wiadomościach phishingowych kierujących ofiary do złośliwych linków do Dysku Google. Z czasem atakujący rozszerzyli swój arsenał o:

  • Pobieranie plików z zainfekowanych witryn
  • Złośliwe instalatory MSI
  • Kampanie malvertisingowe

Zaobserwowano, że Matanbuchus wdrażał dodatkowe ładunki, takie jak DanaBot, QakBot i Cobalt Strike, które często służą jako trampolina do infekcji ransomware.

Matanbuchus 3.0: zaawansowane możliwości i funkcje

Najnowsza wersja, Matanbuchus 3.0, wprowadza znaczące udoskonalenia poprawiające skradanie się i trwałość. Najważniejsze ulepszenia obejmują:

  • Zaawansowane techniki protokołów komunikacyjnych
  • Wykonywanie w pamięci w celu ukrycia
  • Ulepszone zaciemnianie w celu uniknięcia wykrycia
  • Obsługa odwrotnej powłoki za pośrednictwem CMD i PowerShell
  • Możliwość uruchamiania plików DLL, EXE i ładunków powłoki

Ta ewolucja podkreśla rolę złośliwego oprogramowania w umożliwianiu zaawansowanych, wieloetapowych ataków.

Eksploatacja w świecie rzeczywistym: inżynieria społeczna za pośrednictwem Microsoft Teams

Badacze odkryli kampanię z lipca 2025 roku, której celem była nienazwana firma. Atakujący podszywali się pod pracowników pomocy technicznej IT podczas zewnętrznych połączeń w Microsoft Teams, nakłaniając pracowników do uruchomienia Szybkiej Pomocy w celu uzyskania dostępu zdalnego. To pozwoliło im na wykonanie skryptu programu PowerShell wdrażającego Matanbuchusa.

Takie taktyki przypominają metody socjotechniczne wcześniej łączone z grupą ransomware Black Basta, co wskazuje na rosnące pokrywanie się działań loaderów i ransomware.

Pod maską: łańcuch infekcji i trwałość

Po uruchomieniu udostępnionego skryptu przez ofiarę, pobierane jest archiwum. Wewnątrz znajdują się:

  • Zmieniona nazwa aktualizatora Notepad++ (GUP)
  • Zmodyfikowany plik konfiguracyjny XML
  • Złośliwa biblioteka DLL reprezentująca moduł ładujący

Po uruchomieniu Matanbuchus zbiera dane systemowe, sprawdza narzędzia bezpieczeństwa i potwierdza poziomy uprawnień, a następnie przesyła szczegóły do serwera Command-and-Control (C2). Dodatkowe ładunki są następnie dostarczane jako pakiety MSI lub pliki wykonywalne. Trwałość jest osiągana poprzez tworzenie zaplanowanych zadań z wykorzystaniem obiektów COM i wstrzykiwanie kodu powłoki – techniki łączącej prostotę z wyrafinowaniem.

Skradanie się i kontrola: dlaczego to niebezpieczne

Moduł ładujący obsługuje zaawansowane funkcje, w tym zapytania WQL i polecenia zdalne, które zbierają szczegółowe informacje o procesach, usługach i zainstalowanych aplikacjach. Potrafi wykonywać polecenia systemowe, takie jak regsvr32, rundll32, msiexec, a nawet wykonywać operacje drążenia procesów, co podkreśla jego elastyczność.

Cennik i model biznesowy stojący za zagrożeniem

Ceny tej platformy MaaS gwałtownie wzrosły dzięki następującym funkcjom:

  • 10 000 USD miesięcznie za wersję HTTPS
  • 15 000 USD/miesiąc za wersję DNS

Koszty te odzwierciedlają skuteczność złośliwego oprogramowania i popyt na nie w ekosystemie cyberprzestępczości.

Matanbuchus i szerszy obraz ewolucji MaaS

Najnowsza wersja uosabia trend stosowania modułów ładujących typu stealth-first, wykorzystujących LOLBins, przechwytywanie COM i stagery programu PowerShell, aby pozostać niewykrytym. Nadużywanie narzędzi do współpracy, takich jak Microsoft Teams i Zoom, dodatkowo komplikuje bezpieczeństwo przedsiębiorstw. Naukowcy podkreślają znaczenie integracji wykrywania modułów ładujących z zarządzaniem powierzchnią ataku, ponieważ zagrożenia te wciąż ewoluują.

Popularne

Hasło do konta jest stare, e-mail oszustwo

Phishing, Spam
Oszuści nadal tworzą oszukańcze kampanie e-mailowe, aby oszukać niczego niepodejrzewających użytkowników i zmusić ich do podania poufnych informacji. Jednym z takich oszustw, które obecnie krążą, jest oszustwo e-mailowe „Pilny alert bezpieczeństwa”, w szczególności pod przykrywką wiadomości zatytułowanej „Hasło do konta jest stare”. Pomimo że na pierwszy rzut oka wydają się legalne, te e-maile...

Najczęściej oglądane

Ładowanie...