Matanbuchus Malware

Matanbuchus Kötü Amaçlı Yazılımı, yeraltı korsan forumlarında ve pazar yerlerinde bir hizmet olarak kötü amaçlı yazılım şemasında (MaaS) sunulan tehdit edici bir yükleyicidir. Matanbuchus'un yaratıcısı, BelialDemon adı altında faaliyet gösteren bir tehdit aktörüdür. Satış konuşmasına göre, müstakbel müşterilerin tehdide erişmek için 2500$'lık bir başlangıç kiralama fiyatı ödemesi gerekecek. Yükleyiciler olarak bilinen kötü amaçlı yazılım alt kümesi, genellikle saldırı zincirinin ilk aşamalarında bırakılan tehditlerdir ve güvenliği ihlal edilmiş sistemlerde sonraki aşama yüklerini getirmekten ve yürütmekten sorumludur. Genel olarak, Matanbuchus, ana hain yetenekleri olan - bellekte .exe ve .dll dosyalarının başlatılması, PowerShell komutlarının yürütülmesi, görev programlarını kurcalamak için schtasks.exe'nin kullanılması ve bağımsız yürütülebilir dosyaları çalışmaya zorlama yeteneği ile rolüne sadık kalır. belirli bir DLL yükleyin.

İlk Saldırı Vektörü

Palo Alto Networks'ün Matanbuchus'u keşfeden 42. Birim'deki bilgi güvenliği araştırmacıları, bilgisayar korsanlarının tehdidi iletmek için kullandıkları araçları da belirleyebildiler. Saldırıların ilk vektörü, bozuk makrolar taşıyan cazibeli bir Microsoft Excel belgesidir. Tehdit aktörleri, olağan silahlaştırılmış Microsoft Word belgelerini geride bırakarak ve Excel dosyalarına geçiş yaparak devam eden bir eğilim göstermiştir. Açıklama oldukça basittir - Excel'in yerleşik özellikleri, tehdit aktörlerinin bozuk kodlarını belgenin elektronik tablo hücreleri boyunca dağıtmalarına izin vererek, bir şaşırtma düzeyi elde eder ve analiz ve algılamayı çok daha zor hale getirir. Kullanıcı Excel dosyasını çalıştırdığında ve makrolarını etkinleştirdiğinde, dosyayla güvenliği ihlal edilmiş kodlama, belirli bir konumdan (idea-secure-login[.]com) 'ddg.dll' adlı bir DLL dosyasını getirir. Dosya daha sonra kurbanın sistemine 'hcRlCTg.dll' olarak kaydedilecektir. Bu aslında Matanbuchus Malware'in DLL dosyasıdır.

Matanbuchus Kötü Amaçlı Yazılımın Yapısı

Yükleyici tehdidi iki DLL dosyasından oluşur - MatanbuchusDroper.dll ve Matanbuchus.dll. Adından da anlaşılacağı gibi, ilk dosyanın birincil işlevi, ana kötü amaçlı yazılım dosyasını teslim etmektir. Ancak buna ek olarak, GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime ve QueryPerformanceCounter aracılığıyla sanal alanlar veya hata ayıklama araçları için yerel ortamı da kontrol eder. Sonraki adım, birincil Matanbuchus DLL dosyasını 'AveBelial.xml' adlı bir XML dosyası kisvesi altında indirmektir. Tehdit, yeni bırakılan DLL dosyasını çalıştırmak için zamanlanmış bir görev oluşturarak bir kalıcılık mekanizmasını etkinleştirir.

Matanbuchus, tipik sistem dosya adlarının yaklaşık değerlerini kullanarak dosyalarını yerel sistem içinde harmanlamaya çalışır. Örneğin, meşru shell32 veya shell64 yerine tehdit, ana bileşenini Shell96 olarak adlandırır. Matanbuchus.dll dosyasının diğer DLL dosyasına benzer olduğu, ancak bilgisayar korsanlarının, dizelerini ve yürütülebilir kodunu maskelemek için ek şaşırtma ve kodlama teknikleri ile donatmak için çok daha fazla zaman harcadıklarına dikkat edilmelidir.

Kullanıcılar ve kuruluşlar, dünya çapında saldırı kampanyalarında halihazırda kullanılmakta olan tehdide dikkat etmelidir. Şimdiye kadar Matanbuchus Kötü Amaçlı Yazılımı, kurbanlar arasında büyük bir ABD üniversitesi ve bir lisenin yanı sıra Belçika'dan bir yüksek teknoloji kuruluşu olan birkaç farklı kuruluşa karşı konuşlandırıldı.