Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Matanbuchus 3.0 Kötü Amaçlı Yazılım

Matanbuchus 3.0 Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Matanbuchus, Cobalt Strike işaretleri ve fidye yazılımları gibi yeni nesil zararlı yazılımlar sunmak üzere tasarlanmış, kötü şöhretli bir Hizmet Olarak Kötü Amaçlı Yazılım platformudur. İlk olarak Şubat 2021'de Rusça forumlarda 2.500 dolara tanıtılan bu kötü amaçlı yazılım, kısa sürede tehdit aktörlerinin gözdesi haline geldi. Saldırganlar, kullanıcıları meşru ancak güvenliği ihlal edilmiş web siteleri aracılığıyla kandırmak için ClickFix tarzı kampanyalarda kullandılar.

Teslimat Taktikleri ve Gelişen Tehdit Vektörleri

Kötü amaçlı yazılımın dağıtım teknikleri giderek daha karmaşık hale geldi. İlk saldırılar, kurbanları kötü amaçlı Google Drive bağlantılarına yönlendiren kimlik avı e-postalarına büyük ölçüde dayanıyordu. Zamanla saldırganlar, cephaneliklerini şunları içerecek şekilde genişletti:

  • Tehlikeye maruz kalan sitelerden yapılan geçici indirmeler
  • Kötü amaçlı MSI yükleyicileri
  • Kötü amaçlı reklam kampanyaları

Matanbuchus'un, genellikle fidye yazılımı enfeksiyonlarına geçişte basamak olarak kullanılan DanaBot, QakBot ve Cobalt Strike gibi ikincil yükleri dağıttığı gözlemlendi.

Matanbuchus 3.0: Gelişmiş Yetenekler ve Özellikler

En son sürüm olan Matanbuchus 3.0, gizliliği ve kalıcılığı iyileştirmek için önemli geliştirmeler sunuyor. Başlıca yükseltmeler arasında şunlar yer alıyor:

  • Gelişmiş iletişim protokolü teknikleri
  • Gizlilik için bellek içi yürütme
  • Algılanmayı önlemek için geliştirilmiş karartma
  • CMD ve PowerShell aracılığıyla ters kabuk desteği
  • DLL, EXE ve kabuk kodu yüklerini başlatma yeteneği

Bu evrim, kötü amaçlı yazılımların gelişmiş, çok aşamalı saldırıları kolaylaştırmadaki rolünü vurguluyor.

Gerçek Dünya İstismarı: Microsoft Teams Aracılığıyla Sosyal Mühendislik

Araştırmacılar, Temmuz 2025'te ismi açıklanmayan bir şirketi hedef alan bir saldırıyı ortaya çıkardı. Saldırganlar, harici Microsoft Teams aramaları sırasında BT yardım masası personelini taklit ederek, çalışanları uzaktan erişim için Hızlı Yardım'ı başlatmaya ikna etti. Bu sayede Matanbuchus'u dağıtan bir PowerShell betiği çalıştırabildiler.

Bu tür taktikler, daha önce Black Basta fidye yazılımı grubuyla ilişkilendirilen sosyal mühendislik yöntemlerini yansıtıyor ve yükleyici ile fidye yazılımı operasyonları arasında giderek artan bir örtüşme olduğunu gösteriyor.

Perde Arkası: Enfeksiyon Zinciri ve Kalıcılık

Mağdurlar verilen betiği çalıştırdığında bir arşiv indirilir. İçinde şunlar bulunur:

  • Yeniden adlandırılan Notepad++ güncelleyici (GUP)
  • Değiştirilmiş bir XML yapılandırma dosyası
  • Yükleyiciyi temsil eden kötü amaçlı bir DLL

Çalıştırma işleminden sonra Matanbuchus, sistem verilerini toplar, güvenlik araçlarını kontrol eder ve ayrıntıları Komuta ve Kontrol (C2) sunucusuna iletmeden önce ayrıcalık düzeylerini doğrular. Ek yükler daha sonra MSI paketleri veya çalıştırılabilir dosyalar olarak teslim edilir. Kalıcılık, COM nesneleri kullanarak zamanlanmış görevler oluşturulup kabuk kodu enjekte edilerek sağlanır; bu teknik, basitlik ve karmaşıklığı bir araya getirir.

Gizlilik ve Kontrol: Neden Tehlikelidir?

Yükleyici, WQL sorguları ve işlemler, hizmetler ve yüklü uygulamalar hakkında bilgi toplamak için uzaktan komutlar gibi gelişmiş özellikleri destekler. regsvr32, rundll32, msiexec gibi sistem komutlarını çalıştırabilir ve hatta işlem boşaltma işlemlerini gerçekleştirebilir; bu da esnekliğini vurgular.

Fiyatlandırma ve Tehdidin Arkasındaki İş Modeli

Bu MaaS platformunun özellikleriyle birlikte fiyatları da fırladı:

  • HTTPS sürümü için ayda 10.000 ABD doları
  • DNS sürümü için ayda 15.000 ABD doları

Bu maliyetler, kötü amaçlı yazılımların siber suç ekosistemindeki etkinliğini ve talebini yansıtıyor.

Matanbuchus ve MaaS Evriminin Daha Büyük Resmi

En son sürüm, tespit edilmeden kalmak için LOLBin'ler, COM ele geçirme ve PowerShell sahneleyicileri kullanan gizli yükleyicilere yönelik eğilimi özetliyor. Microsoft Teams ve Zoom gibi iş birliği araçlarını kötüye kullanması, kurumsal güvenliği daha da karmaşık hale getiriyor. Araştırmacılar, bu tehditler gelişmeye devam ettikçe, yükleyici algılamanın saldırı yüzeyi yönetimine entegre edilmesinin önemini vurguluyor.

trend

Hesap Şifresi Eski E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Dolandırıcılar, şüphelenmeyen kullanıcıları hassas bilgileri vermeye kandırmak için aldatıcı e-posta kampanyaları düzenlemeye devam ediyor. Şu anda dolaşan bu tür dolandırıcılıklardan biri, özellikle 'Hesap Parolası Eski' başlıklı bir mesaj kisvesi altında 'Acil Güvenlik Uyarısı' e-posta dolandırıcılığıdır. İlk bakışta meşru görünmelerine rağmen, bu e-postalar sahtedir ve dijital gizliliğiniz...

En çok görüntülenen

Yükleniyor...