Phần mềm độc hại Matanbuchus 3.0

Matanbuchus là một nền tảng Malware-as-a-Service khét tiếng, được thiết kế để cung cấp các payload giai đoạn tiếp theo như Cobalt Strike beacon và ransomware. Được quảng cáo lần đầu tiên vào tháng 2 năm 2021 trên các diễn đàn nói tiếng Nga với giá 2.500 đô la, phần mềm độc hại này nhanh chóng trở thành lựa chọn hàng đầu của các tác nhân đe dọa. Những kẻ tấn công đã sử dụng nó trong các chiến dịch kiểu ClickFix, lừa người dùng thông qua các trang web hợp pháp nhưng đã bị xâm nhập.

Chiến thuật phân phối và các vectơ đe dọa đang phát triển

Kỹ thuật phát tán phần mềm độc hại ngày càng tinh vi. Các chiến dịch ban đầu chủ yếu dựa vào email lừa đảo dẫn nạn nhân đến các liên kết Google Drive độc hại. Theo thời gian, kẻ tấn công đã mở rộng kho vũ khí của mình bao gồm:

• Tải xuống từ các trang web bị xâm phạm
• Trình cài đặt MSI độc hại
• Các chiến dịch quảng cáo độc hại

Matanbuchus đã được phát hiện triển khai các tải trọng thứ cấp như DanaBot, QakBot và Cobalt Strike, thường được sử dụng làm bàn đạp cho các cuộc tấn công ransomware.

Matanbuchus 3.0: Khả năng và tính năng nâng cao

Phiên bản mới nhất, Matanbuchus 3.0, giới thiệu những cải tiến đáng kể nhằm cải thiện khả năng tàng hình và tính bền bỉ. Các nâng cấp chính bao gồm:

• Kỹ thuật giao thức truyền thông nâng cao
• Thực thi trong bộ nhớ để tàng hình
• Tăng cường che giấu để tránh bị phát hiện
• Hỗ trợ shell ngược thông qua CMD và PowerShell
• Khả năng khởi chạy DLL, EXE và tải trọng shellcode

Sự phát triển này nhấn mạnh vai trò của phần mềm độc hại trong việc tạo điều kiện cho các cuộc tấn công nhiều giai đoạn và nâng cao.

Khai thác trong thế giới thực: Kỹ thuật xã hội thông qua Microsoft Teams

Các nhà nghiên cứu đã phát hiện ra một chiến dịch vào tháng 7 năm 2025 nhắm vào một công ty giấu tên. Những kẻ tấn công đã mạo danh nhân viên bộ phận hỗ trợ CNTT trong các cuộc gọi Microsoft Teams bên ngoài, thuyết phục nhân viên khởi chạy Quick Assist để truy cập từ xa. Điều này cho phép chúng thực thi một tập lệnh PowerShell triển khai Matanbuchus.

Những chiến thuật như vậy phản ánh các phương pháp kỹ thuật xã hội trước đây có liên quan đến nhóm ransomware Black Basta, cho thấy sự chồng chéo ngày càng tăng giữa hoạt động tải và ransomware.

Dưới mui xe: Chuỗi lây nhiễm và sự tồn tại

Khi nạn nhân chạy tập lệnh được cung cấp, một tệp lưu trữ sẽ được tải xuống. Bên trong gồm có:

• Trình cập nhật Notepad++ được đổi tên (GUP)
• Một tệp cấu hình XML đã sửa đổi
• Một DLL độc hại đại diện cho trình tải

Sau khi thực thi, Matanbuchus thu thập dữ liệu hệ thống, kiểm tra các công cụ bảo mật và xác nhận cấp độ đặc quyền trước khi truyền thông tin chi tiết đến máy chủ Command-and-Control (C2). Các payload bổ sung sau đó được phân phối dưới dạng các gói MSI hoặc tệp thực thi. Tính bền bỉ được đạt được bằng cách tạo các tác vụ theo lịch trình bằng cách sử dụng các đối tượng COM và chèn shellcode, một kỹ thuật kết hợp giữa sự đơn giản và tinh vi.

Tàng hình và Kiểm soát: Tại sao nó nguy hiểm

Trình tải hỗ trợ các tính năng nâng cao, bao gồm truy vấn WQL và lệnh từ xa để thu thập thông tin chi tiết về quy trình, dịch vụ và ứng dụng đã cài đặt. Nó có thể thực thi các lệnh hệ thống như regsvr32, rundll32, msiexec, và thậm chí thực hiện "rỗng" quy trình, làm nổi bật tính linh hoạt của nó.

Giá cả và mô hình kinh doanh đằng sau mối đe dọa

Nền tảng MaaS này đã chứng kiến giá tăng vọt với bộ tính năng của nó:

• 10.000 đô la/tháng cho phiên bản HTTPS
• 15.000 đô la/tháng cho phiên bản DNS

Những chi phí như vậy phản ánh hiệu quả và nhu cầu của phần mềm độc hại trong hệ sinh thái tội phạm mạng.

Matanbuchus và bức tranh toàn cảnh về sự phát triển của MaaS

Phiên bản mới nhất là điển hình cho xu hướng sử dụng trình tải ẩn (stealth-first loader) tận dụng LOLBins, COM hijacking và PowerShell stager để không bị phát hiện. Việc lạm dụng các công cụ cộng tác như Microsoft Teams và Zoom càng làm phức tạp thêm vấn đề bảo mật doanh nghiệp. Các nhà nghiên cứu nhấn mạnh việc tích hợp phát hiện trình tải vào quản lý bề mặt tấn công khi các mối đe dọa này tiếp tục phát triển.