มัลแวร์ Matanbuchus 3.0

Matanbuchus เป็นแพลตฟอร์ม Malware-as-a-Service ที่มีชื่อเสียง ซึ่งออกแบบมาเพื่อส่งมอบเพย์โหลดขั้นสูง เช่น Cobalt Strike Beacons และแรนซัมแวร์ มัลแวร์นี้ได้รับการโปรโมตครั้งแรกในเดือนกุมภาพันธ์ 2021 ในฟอรัมที่ใช้ภาษารัสเซียในราคา 2,500 ดอลลาร์ และกลายเป็นตัวเลือกอันดับต้น ๆ ของผู้ก่อภัยคุกคามอย่างรวดเร็ว ผู้โจมตีได้นำมันมาใช้ในแคมเปญแบบ ClickFix เพื่อหลอกผู้ใช้ผ่านเว็บไซต์ที่ถูกกฎหมายแต่ถูกแฮ็ก

กลยุทธ์การจัดส่งและเวกเตอร์ภัยคุกคามที่เปลี่ยนแปลงไป

เทคนิคการแพร่กระจายของมัลแวร์มีความซับซ้อนมากขึ้นเรื่อยๆ แคมเปญเริ่มแรกอาศัยอีเมลฟิชชิงเป็นหลัก โดยนำเหยื่อไปยังลิงก์ Google Drive ที่เป็นอันตราย เมื่อเวลาผ่านไป ผู้โจมตีได้ขยายคลังอาวุธของตนเพื่อครอบคลุม:

• การดาวน์โหลดแบบไดรฟ์บายจากไซต์ที่ถูกบุกรุก
• โปรแกรมติดตั้ง MSI ที่เป็นอันตราย
• แคมเปญโฆษณาแฝง

พบว่า Matanbuchus ใช้เพย์โหลดรอง เช่น DanaBot, QakBot และ Cobalt Strike ซึ่งมักใช้เป็นบันไดสู่การติดไวรัสแรนซัมแวร์

Matanbuchus 3.0: ความสามารถและคุณสมบัติขั้นสูง

Matanbuchus 3.0 เวอร์ชันล่าสุดนี้มาพร้อมกับการปรับปรุงที่สำคัญเพื่อยกระดับการลอบเร้นและการคงอยู่ การอัปเกรดที่สำคัญประกอบด้วย:

• เทคนิคโปรโตคอลการสื่อสารขั้นสูง
• การดำเนินการในหน่วยความจำเพื่อการซ่อนตัว
• ปรับปรุงการบดบังเพื่อหลีกเลี่ยงการตรวจจับ
• รองรับเชลล์ย้อนกลับผ่าน CMD และ PowerShell
• ความสามารถในการเปิดตัว DLL, EXE และโหลด shellcode

วิวัฒนาการนี้เน้นย้ำถึงบทบาทของมัลแวร์ในการอำนวยความสะดวกในการโจมตีขั้นสูงแบบหลายขั้นตอน

การใช้ประโยชน์ในโลกแห่งความเป็นจริง: วิศวกรรมสังคมผ่าน Microsoft Teams

นักวิจัยค้นพบแคมเปญในเดือนกรกฎาคม 2025 ที่มุ่งเป้าไปที่บริษัทที่ไม่เปิดเผยชื่อ ผู้โจมตีปลอมตัวเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือด้านไอทีระหว่างการโทรติดต่อ Microsoft Teams ภายนอก โดยชักชวนให้พนักงานเปิดใช้งาน Quick Assist เพื่อการเข้าถึงระยะไกล ซึ่งทำให้พวกเขาสามารถรันสคริปต์ PowerShell เพื่อปรับใช้ Matanbuchus ได้

กลวิธีดังกล่าวสะท้อนถึงวิธีการทางวิศวกรรมสังคมที่เคยเชื่อมโยงกับกลุ่มแรนซัมแวร์ Black Basta ซึ่งบ่งชี้ถึงการเหลื่อมซ้อนกันที่เพิ่มมากขึ้นระหว่างการดำเนินการโหลดและแรนซัมแวร์

ภายใต้ประทุน: ห่วงโซ่การติดเชื้อและความคงอยู่

เมื่อเหยื่อรันสคริปต์ที่ให้มา ไฟล์เก็บถาวรจะถูกดาวน์โหลด ภายในประกอบด้วย:

• ตัวอัปเดต Notepad++ ที่เปลี่ยนชื่อ (GUP)
• ไฟล์กำหนดค่า XML ที่ปรับเปลี่ยน
• DLL ที่เป็นอันตรายซึ่งเป็นตัวแทนของตัวโหลด

หลังจากดำเนินการ Matanbuchus จะรวบรวมข้อมูลระบบ ตรวจสอบเครื่องมือรักษาความปลอดภัย และยืนยันระดับสิทธิ์ก่อนส่งรายละเอียดไปยังเซิร์ฟเวอร์ Command-and-Control (C2) จากนั้นเพย์โหลดเพิ่มเติมจะถูกส่งเป็นแพ็กเกจ MSI หรือไฟล์ปฏิบัติการ ความคงอยู่ทำได้โดยการสร้างงานที่กำหนดเวลาไว้โดยใช้อ็อบเจ็กต์ COM และแทรกโค้ดเชลล์ ซึ่งเป็นเทคนิคที่ผสมผสานความเรียบง่ายและความซับซ้อน

การซ่อนตัวและการควบคุม: ทำไมจึงเป็นอันตราย

ตัวโหลดรองรับฟีเจอร์ขั้นสูงต่างๆ เช่น คิวรี WQL และคำสั่งระยะไกลเพื่อรวบรวมรายละเอียดเกี่ยวกับกระบวนการ บริการ และแอปพลิเคชันที่ติดตั้ง สามารถรันคำสั่งระบบต่างๆ เช่น regsvr32, rundll32, msiexec และแม้แต่การทำ process hollowing ซึ่งเน้นความยืดหยุ่นในการใช้งาน

การกำหนดราคาและรูปแบบธุรกิจเบื้องหลังภัยคุกคาม

แพลตฟอร์ม MaaS นี้มีราคาพุ่งสูงขึ้นพร้อมชุดคุณสมบัติ:

• 10,000 เหรียญสหรัฐต่อเดือนสำหรับเวอร์ชัน HTTPS
• 15,000 เหรียญสหรัฐฯ ต่อเดือนสำหรับเวอร์ชัน DNS

ต้นทุนดังกล่าวสะท้อนถึงประสิทธิผลและความต้องการของมัลแวร์ในระบบนิเวศของอาชญากรรมทางไซเบอร์

Matanbuchus และภาพรวมของวิวัฒนาการ MaaS

เวอร์ชันล่าสุดนี้เป็นตัวอย่างที่ชัดเจนของเทรนด์การใช้โปรแกรมโหลดแบบซ่อนตัว (Stealth-first loader) โดยใช้ประโยชน์จาก LOLBins, การแฮ็ก COM และ PowerShell stager เพื่อไม่ให้ถูกตรวจจับ การใช้เครื่องมือการทำงานร่วมกันอย่าง Microsoft Teams และ Zoom ในทางที่ผิดยิ่งทำให้ความปลอดภัยขององค์กรมีความซับซ้อนมากขึ้น นักวิจัยเน้นย้ำถึงการผสานรวมการตรวจจับโปรแกรมโหลดเข้ากับการจัดการพื้นผิวการโจมตี เนื่องจากภัยคุกคามเหล่านี้ยังคงพัฒนาอย่างต่อเนื่อง