Multi-License Discount Quote
Banta sa Database Malware Matanbuchus 3.0 Malware

Matanbuchus 3.0 Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Ang Matanbuchus ay isang kilalang platform ng Malware-as-a-Service na idinisenyo upang maghatid ng mga susunod na yugto ng mga payload gaya ng mga Cobalt Strike beacon at ransomware. Unang na-promote noong Pebrero 2021 sa mga forum na nagsasalita ng Ruso sa halagang $2,500, mabilis na naging mapagpipilian ang malware para sa mga aktor ng pagbabanta. Ginamit ito ng mga attacker sa ClickFix-style na mga kampanya, nililinlang ang mga user sa pamamagitan ng mga lehitimong website na nakompromiso pa.

Mga Taktika sa Paghahatid at Umuunlad na mga Vector ng Banta

Ang mga diskarte sa pamamahagi ng malware ay naging mas sopistikado. Ang mga paunang kampanya ay lubos na umaasa sa mga email ng phishing na nagdidirekta sa mga biktima sa mga nakakahamak na link sa Google Drive. Sa paglipas ng panahon, pinalawak ng mga umaatake ang kanilang arsenal upang isama ang:

  • Drive-by na mga pag-download mula sa mga nakompromisong site
  • Mga nakakahamak na installer ng MSI
  • Mga kampanyang malvertising

Naobserbahan ang Matanbuchus na nagde-deploy ng mga pangalawang payload tulad ng DanaBot, QakBot, at Cobalt Strike, na kadalasang ginagamit bilang mga hakbang sa mga impeksyon sa ransomware.

Matanbuchus 3.0: Mga Advanced na Kakayahan at Mga Tampok

Ang pinakabagong pag-ulit, ang Matanbuchus 3.0, ay nagpapakilala ng mga makabuluhang pagpapahusay upang mapabuti ang stealth at pagtitiyaga. Kabilang sa mga pangunahing pag-upgrade ang:

  • Mga advanced na diskarte sa protocol ng komunikasyon
  • In-memory execution para sa stealth
  • Pinahusay na obfuscation upang maiwasan ang pagtuklas
  • Baliktarin ang suporta ng shell sa pamamagitan ng CMD at PowerShell
  • Kakayahang maglunsad ng mga payload ng DLL, EXE, at shellcode

Binibigyang-diin ng ebolusyon na ito ang papel ng malware sa pagpapadali ng mga advanced, multi-stage na pag-atake.

Real-World Exploitation: Social Engineering sa pamamagitan ng Microsoft Teams

Natuklasan ng mga mananaliksik ang isang kampanya noong Hulyo 2025 na nagta-target sa isang hindi pinangalanang kumpanya. Ginaya ng mga attacker ang mga tauhan ng IT help desk sa mga panlabas na tawag sa Microsoft Teams, na hinihikayat ang mga empleyado na ilunsad ang Quick Assist para sa malayuang pag-access. Nagbigay-daan ito sa kanila na magsagawa ng PowerShell script na nagde-deploy ng Matanbuchus.

Ang ganitong mga taktika ay sumasalamin sa mga pamamaraan ng social engineering na dating naka-link sa Black Basta ransomware group, na nagpapahiwatig ng lumalaking overlap sa pagitan ng mga pagpapatakbo ng loader at ransomware.

Sa ilalim ng Hood: Infection Chain at Persistence

Kapag pinatakbo ng mga biktima ang ibinigay na script, magda-download ng archive. Sa loob ay:

  • Isang pinalitan ng pangalan na Notepad++ updater (GUP)
  • Isang binagong XML configuration file
  • Isang nakakahamak na DLL na kumakatawan sa loader

Pagkatapos ng pagpapatupad, kinokolekta ng Matanbuchus ang data ng system, sinusuri ang mga tool sa seguridad, at kinukumpirma ang mga antas ng pribilehiyo bago ipadala ang mga detalye sa Command-and-Control (C2) server nito. Ang mga karagdagang payload ay ihahatid bilang mga MSI package o executable. Ang pagtitiyaga ay nakakamit sa pamamagitan ng paglikha ng mga naka-iskedyul na gawain gamit ang mga COM object at pag-inject ng shellcode, isang pamamaraan na pinagsasama ang pagiging simple at pagiging sopistikado.

Stealth and Control: Bakit Ito Mapanganib

Sinusuportahan ng loader ang mga advanced na feature, kabilang ang mga WQL na query at remote na command para mangalap ng mga detalye sa mga proseso, serbisyo, at naka-install na application. Maaari itong magsagawa ng mga utos ng system tulad ng regsvr32, rundll32, msiexec, at kahit na magsagawa ng proseso ng hollowing, na nagbibigay-diin sa kakayahang umangkop nito.

Pagpepresyo at ang Modelo ng Negosyo sa Likod ng Banta

Nakita ng platform ng MaaS na ito ang pagtaas ng presyo nito sa hanay ng tampok nito:

  • $10,000/buwan para sa bersyon ng HTTPS
  • $15,000/buwan para sa bersyon ng DNS

Ang mga naturang gastos ay sumasalamin sa pagiging epektibo at pangangailangan ng malware sa cybercrime ecosystem.

Matanbuchus at ang Mas Malaking Larawan ng MaaS Evolution

Ang pinakabagong bersyon ay nagpapakita ng trend patungo sa mga stealth-first loader na gumagamit ng LOLBins, COM hijacking, at PowerShell stagers upang manatiling hindi natukoy. Ang pag-abuso nito sa mga tool sa pakikipagtulungan tulad ng Microsoft Teams at Zoom ay higit pang nagpapakumplikado sa seguridad ng enterprise. Binibigyang-diin ng mga mananaliksik ang pagsasama ng pag-detect ng loader sa pamamahala sa ibabaw ng pag-atake habang patuloy na nagbabago ang mga banta na ito.

Trending

Pinaka Nanood

Naglo-load...