Злонамерни софтвер Matanbuchus 3.0
Матанбухус је озлоглашена платформа за малвер као услугу (Malware-as-a-Service), дизајнирана за испоруку корисних садржаја следећег нивоа, као што су Cobalt Strike маяци и ransomware. Први пут промовисан у фебруару 2021. на форумима на руском говорном подручју за 2.500 долара, малвер је брзо постао главни избор за актере претњи. Нападачи су га користили у кампањама сличним ClickFix-у, варајући кориснике путем легитимних, али компромитованих веб локација.
Преглед садржаја
Тактике испоруке и еволуирајући вектори претњи
Технике дистрибуције злонамерног софтвера постале су све софистицираније. Почетне кампање су се у великој мери ослањале на фишинг имејлове који су усмеравали жртве ка злонамерним линковима на Google диску. Временом су нападачи проширили свој арсенал тако да укључује:
- Преузимања са компромитованих сајтова путем аутоматског преноса
- Злонамерни MSI инсталатери
- Кампање злонамерног оглашавања
Примећено је да Matanbuchus користи секундарне корисне пакете попут DanaBot, QakBot и Cobalt Strike, који се често користе као одскочна даска за инфекције ransomware-ом.
Матанбухус 3.0: Напредне могућности и карактеристике
Најновија верзија, Matanbuchus 3.0, уводи значајна побољшања ради побољшања прикривености и истрајности. Кључна побољшања укључују:
- Напредне технике комуникационог протокола
- Извршавање у меморији за прикривеност
- Побољшано замагљивање ради избегавања откривања
- Подршка за обрнуту шкољку путем CMD-а и PowerShell-а
- Могућност покретања DLL, EXE и shellcode корисних садржаја
Ова еволуција наглашава улогу злонамерног софтвера у олакшавању напредних, вишестепених напада.
Експлоатација у стварном свету: Социјални инжењеринг путем Microsoft Teams-а
Истраживачи су открили кампању из јула 2025. године усмерену на неименовану компанију. Нападачи су се представљали као запослени у ИТ служби за помоћ током екстерних позива преко Microsoft Teams-а, наговарајући запослене да покрену Quick Assist за удаљени приступ. Ово им је омогућило да покрену PowerShell скрипту која је распоредила Matanbuchus.
Такве тактике одражавају методе социјалног инжењеринга које су претходно биле повезане са групом рансомвера Black Basta, што указује на све веће преклапање између операција учитавања и рансомвера.
Испод хаубе: Ланац инфекције и перзистенција
Када жртве покрену приложени скрипт, преузима се архива. Унутра се налазе:
- Преименовани програм за ажурирање Notepad++ (GUP)
- Измењена XML конфигурациона датотека
- Злонамерни DLL који представља програм за учитавање
Након извршавања, Matanbuchus прикупља системске податке, проверава безбедносне алате и потврђује нивое привилегија пре него што пошаље детаље свом командно-контролном (C2) серверу. Додатни корисни терет се затим испоручује као MSI пакети или извршне датотеке. Перзистентност се постиже креирањем заказаних задатака коришћењем COM објеката и убризгавањем шелкода, техником која спаја једноставност и софистицираност.
Прикривеност и контрола: Зашто је опасно
Програм за учитавање подржава напредне функције, укључујући WQL упите и удаљене команде за прикупљање детаља о процесима, услугама и инсталираним апликацијама. Може да извршава системске команде као што су regsvr32, rundll32, msiexec, па чак и да врши „шупљење“ процеса, што истиче његову флексибилност.
Цена и пословни модел који стоји иза претње
Ова MaaS платформа је доживела вртоглави скок цена захваљујући свом скупу функција:
- 10.000 долара месечно за HTTPS верзију
- 15.000 долара месечно за DNS верзију
Такви трошкови одражавају ефикасност и потражњу злонамерног софтвера у екосистему сајбер криминала.
Матанбухус и шира слика еволуције MaaS-а
Најновија верзија отелотворује тренд ка скривеним учитавачима који користе LOLBins, отмицу COM-а и PowerShell стагере како би остали неоткривени. Злоупотреба алата за сарадњу попут Microsoft Teams-а и Zoom-а додатно компликује безбедност предузећа. Истраживачи наглашавају интеграцију детекције учитавача у управљање површином напада како се ове претње стално развијају.
