Matanbuchus skadlig kod

Matanbuchus Malware är en hotfull lastare som erbjuds i ett malware-as-a-service-system (MaaS) på underjordiska hackerforum och marknadsplatser. Skaparen av Matanbuchus är en hotaktör som verkar under namnet BelialDemon. Enligt försäljningsnivån skulle blivande kunder behöva betala ett initialt hyrespris på $ 2500 för att få tillgång till hotet. Delmängden skadlig kod som kallas lastare är vanligtvis hot som släpps i de tidiga stadierna av attackkedjan och ansvarar för att hämta och sedan utföra nästa steg nyttolast på de komprometterade systemen. I allmänhet håller Matanbuchus fast vid sin roll med de viktigaste skadliga funktionerna - lansering av .exe- och .dll-filer i minnet, körning av PowerShell-kommandon med schtasks.exe för att manipulera uppgiftsscheman och möjligheten att tvinga fristående körbara filer ladda en specifik DLL.

Initial Attack Vector

Infosec-forskarna vid Palo Alto Networks enhet 42 som upptäckte Matanbuchus kunde också bestämma hur hackare använde för att leverera hotet. Den ursprungliga vektorn för attackerna är ett lockande Microsoft Excel-dokument som innehåller skadade makron. Hotaktörer har visat en fortsatt trend som lämnar de vanliga vapeniserade Microsoft Word-dokumenten och byter till Excel-filer. Förklaringen är ganska enkel - de inbyggda egenskaperna hos Excel gör det möjligt för hotaktörerna att distribuera sin korrupta kod genom dokumentets kalkylbladsceller, uppnå en nivå av fördunkling och göra analys och upptäckt mycket svårare. När användaren kör Excel-filen och aktiverar dess makron kommer den komprometterade kodningen med filen att hämta en DLL-fil med namnet 'ddg.dll' från en viss plats (idé-säker-inloggning [.] Com). Filen sparas sedan på offrets system som 'hcRlCTg.dll.' Detta är i själva verket DLL-filen av Matanbuchus Malware.

Matanbuchus Malwares struktur

Lastarhotet består av två DLL-filer - MatanbuchusDroper.dll och Matanbuchus.dll. Som namnet antyder är den första filens primära funktion att leverera den huvudsakliga skadliga filen. Dessutom kontrollerar den också den inhemska miljön för sandlådor eller felsökningsverktyg via GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime och QueryPerformanceCounter. Nästa steg är att ladda ner den primära Matanbuchus-dllen under täckmantel av en XML-fil med namnet 'AveBelial.xml.' Hotet aktiverar en uthållighetsmekanism genom att generera en schemalagd uppgift för att köra den nyligen tappade DLL-filen.

Matanbuchus försöker blanda sina filer i det ursprungliga systemet genom att använda approximationer av typiska systemfilnamn. Till exempel, istället för den legitima shell32 eller shell64, namnger hotet sin huvudkomponent shell96. Det bör noteras att Matanbuchus.dll liknar den andra DLL-filen men hackarna har spenderat mycket mer tid på att utrusta den med ytterligare fördunklings- och kodningstekniker för att maskera dess strängar och körbar kod.

Användare och organisationer bör hålla ett öga på hotet eftersom det redan används i attackkampanjer över hela världen. Hittills har Matanbuchus Malware distribuerats mot flera olika organisationer med ett stort amerikanskt universitet och en gymnasium samt en högteknologisk organisation från Belgien som är bland offren.