Matanbuchus Malware
Matanbuchus Malware to program ładujący groźby, który jest oferowany w schemacie złośliwego oprogramowania jako usługi (MaaS) na podziemnych forach hakerskich i platformach handlowych. Twórcą Matanbuchus jest aktor-zagrożenie działający pod nazwą BelialDemon. Zgodnie z propozycją sprzedaży potencjalni klienci musieliby zapłacić początkową cenę najmu w wysokości 2500 USD, aby uzyskać dostęp do zagrożenia. Podzbiór złośliwego oprogramowania, znany jako programy ładujące, to zazwyczaj zagrożenia usuwane na wczesnych etapach łańcucha ataków i odpowiedzialne za pobieranie, a następnie wykonywanie ładunków następnego etapu w zaatakowanych systemach. Ogólnie rzecz biorąc, Matanbuchus trzyma się swojej roli, a jego główne nikczemne możliwości to uruchamianie plików .exe i .dll w pamięci, wykonywanie poleceń PowerShell, używanie schtasks.exe do manipulowania harmonogramami zadań oraz możliwość wymuszenia samodzielnych plików wykonywalnych załaduj określoną bibliotekę DLL.
Początkowy wektor ataku
Badacze infosec z jednostki 42 Palo Alto Networks, którzy odkryli Matanbuchus, byli również w stanie określić środki wykorzystywane przez hakerów do dostarczania zagrożenia. Początkowym wektorem ataków jest kuszący dokument Microsoft Excel, który zawiera uszkodzone makra. Podmioty zajmujące się zagrożeniami wykazały ciągłą tendencję, pozostawiając zwykłe uzbrojone dokumenty Microsoft Word i przełączając się na pliki Excela. Wyjaśnienie jest dość proste — wbudowane cechy programu Excel umożliwiają cyberprzestępcom rozpowszechnianie uszkodzonego kodu w komórkach arkusza kalkulacyjnego dokumentu, osiągając poziom zaciemnienia i znacznie utrudniając analizę i wykrywanie. Gdy użytkownik uruchomi plik Excela i włączy jego makra, zhakowane kodowanie z plikiem pobierze plik DLL o nazwie „ddg.dll” z określonej lokalizacji (idea-secure-login[.]com). Plik zostanie następnie zapisany w systemie ofiary jako „hcRlCTg.dll”. W rzeczywistości jest to plik DLL złośliwego oprogramowania Matanbuchus.
Struktura złośliwego oprogramowania Matanbuchus
Zagrożenie ładujące składa się z dwóch plików DLL - MatanbuchusDroper.dll i Matanbuchus.dll. Jak sama nazwa wskazuje, podstawową funkcją pierwszego pliku jest dostarczenie głównego pliku szkodliwego oprogramowania. Jednak dodatkowo sprawdza również natywne środowisko pod kątem piaskownic lub narzędzi do debugowania za pośrednictwem GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime i QueryPerformanceCounter. Następnym krokiem jest pobranie podstawowej biblioteki DLL Matanbuchus pod postacią pliku XML o nazwie „AveBelial.xml”. Zagrożenie aktywuje mechanizm trwałości, generując zaplanowane zadanie uruchomienia nowo upuszczonego pliku DLL.
Matanbuchus próbuje połączyć swoje pliki z rodzimym systemem, używając przybliżeń typowych nazw plików systemowych. Na przykład zamiast poprawnej powłoki32 lub shell64 zagrożenie nazywa swój główny składnik shell96. Należy zauważyć, że Matanbuchus.dll jest podobny do innego pliku DLL, ale hakerzy poświęcili dużo więcej czasu na wyposażenie go w dodatkowe techniki zaciemniania i kodowania, aby zamaskować jego ciągi i kod wykonywalny.
Użytkownicy i organizacje powinny zwracać uwagę na zagrożenie, ponieważ jest ono już wykorzystywane w kampaniach ataków na całym świecie. Jak dotąd, Matanbuchus Malware zostało wdrożone przeciwko kilku różnym organizacjom, wśród których ofiarami były duży uniwersytet w USA i szkoła średnia, a także organizacja high-tech z Belgii.
