Шкідливе програмне забезпечення Matanbuchus 3.0
Matanbuchus — це сумнозвісна платформа «шкідливе програмне забезпечення як послуга», розроблена для доставки наступних корисних навантажень, таких як маяки Cobalt Strike та програми-вимагачі. Вперше рекламоване в лютому 2021 року на російськомовних форумах за 2500 доларів, це шкідливе програмне забезпечення швидко стало улюбленим вибором для зловмисників. Зловмисники використовували його в кампаніях у стилі ClickFix, обманюючи користувачів через легітимні, але скомпрометовані вебсайти.
Зміст
Тактика доставки та розвиток векторів загроз
Методи розповсюдження шкідливого програмного забезпечення стають дедалі складнішими. Початкові кампанії значною мірою покладалися на фішингові електронні листи, які перенаправляли жертв на шкідливі посилання на Google Диск. З часом зловмисники розширили свій арсенал, включивши до нього:
- Автозавантаження зі зламаних сайтів
- Шкідливі інсталятори MSI
- Кампанії зі шкідливою рекламою
Було помічено, що Matanbuchus розгортає вторинні корисні навантаження, такі як DanaBot, QakBot та Cobalt Strike, які часто використовуються як трампліни для зараження програмами-вимагачами.
Matanbuchus 3.0: Розширені можливості та функції
Найновіша версія, Matanbuchus 3.0, містить суттєві покращення для покращення скритності та стійкості. Ключові оновлення включають:
- Розширені методи протоколу зв'язку
- Виконання в пам'яті для прихованого виконання
- Покращене обфускація для уникнення виявлення
- Підтримка зворотної оболонки через CMD та PowerShell
- Можливість запуску DLL, EXE та шелл-коду
Ця еволюція підкреслює роль шкідливого програмного забезпечення у сприянні складним багатоетапним атакам.
Експлуатація в реальному світі: соціальна інженерія через Microsoft Teams
Дослідники виявили кампанію липня 2025 року, спрямовану на неназвану компанію. Зловмисники видавали себе за співробітників служби ІТ-довідки під час зовнішніх дзвінків Microsoft Teams, переконуючи співробітників запустити Quick Assist для віддаленого доступу. Це дозволило їм виконати скрипт PowerShell, що розгортав Matanbuchus.
Така тактика відображає методи соціальної інженерії, які раніше пов'язували з групою вимагачів Black Basta, що свідчить про зростаюче перекриття між операціями завантажувача та вимагачів.
Під капотом: ланцюг інфекції та її стійкість
Після того, як жертви запустять наданий скрипт, завантажиться архів. Усередині знаходяться:
- Перейменований засіб оновлення Notepad++ (GUP)
- Змінений файл конфігурації XML
- Шкідлива DLL-бібліотека, що представляє завантажувач
Після виконання Matanbuchus збирає системні дані, перевіряє наявність інструментів безпеки та підтверджує рівні привілеїв, перш ніж передати деталі на свій сервер командування та управління (C2). Додаткові корисні навантаження потім доставляються як MSI-пакети або виконувані файли. Збереження досягається шляхом створення запланованих завдань за допомогою COM-об'єктів та впровадження шелл-коду, методу, який поєднує простоту та вишуканість.
Прихованість і контроль: чому це небезпечно
Завантажувач підтримує розширені функції, включаючи WQL-запити та віддалені команди для збору інформації про процеси, служби та встановлені програми. Він може виконувати системні команди, такі як regsvr32, rundll32, msiexec, і навіть виконувати видалення процесів, що підкреслює його гнучкість.
Ціноутворення та бізнес-модель, що стоїть за загрозою
Ціни на цю MaaS-платформу різко зросли завдяки її набору функцій:
- 10 000 доларів США на місяць за HTTPS-версію
- 15 000 доларів США на місяць за DNS-версію
Такі витрати відображають ефективність та попит шкідливого програмного забезпечення в екосистемі кіберзлочинності.
Матанбухус та ширша картина еволюції MaaS
Остання версія втілює тенденцію до використання прихованих завантажувачів, що використовують LOLBins, захоплення COM-компонентів та PowerShell-стагери, щоб залишатися непоміченими. Зловживання інструментами для співпраці, такими як Microsoft Teams та Zoom, ще більше ускладнює безпеку підприємства. Дослідники наголошують на інтеграції виявлення завантажувачів в управління поверхнею атаки, оскільки ці загрози продовжують розвиватися.
