Matanbuchus 3.0恶意软件
Matanbuchus 是一个臭名昭著的恶意软件即服务 (MaaS) 平台,旨在传播下一阶段的有效载荷,例如 Cobalt Strike 信标和勒索软件。该恶意软件于 2021 年 2 月首次在俄语论坛上以 2,500 美元的价格推广,并迅速成为威胁行为者的首选。攻击者已将其用于类似 ClickFix 的攻击活动中,通过合法但已被入侵的网站诱骗用户。
目录
交付策略和不断演变的威胁载体
该恶意软件的传播技术日益复杂。最初的攻击活动主要依靠钓鱼邮件将受害者引导至恶意的 Google Drive 链接。随着时间的推移,攻击者不断扩展其武器库,包括:
- 从受感染网站进行驱动下载
- 恶意 MSI 安装程序
- 恶意广告活动
据观察,Matanbuchus 部署了 DanaBot、QakBot 和 Cobalt Strike 等次要有效载荷,这些载荷通常被用作勒索软件感染的垫脚石。
Matanbuchus 3.0:高级功能和特性
最新版本的“马坦布丘斯”3.0 引入了多项重大改进,以提高隐身性和持久性。关键升级包括:
- 先进的通信协议技术
- 内存执行以实现隐身
- 增强混淆以逃避检测
- 通过 CMD 和 PowerShell 支持反向 shell
- 能够启动 DLL、EXE 和 Shellcode 有效载荷
这种演变凸显了恶意软件在促进高级、多阶段攻击中的作用。
现实世界的利用:通过 Microsoft Teams 进行社会工程
研究人员发现了一项针对一家未具名公司的攻击活动,该活动于 2025 年 7 月发起。攻击者在外部 Microsoft Teams 通话中冒充 IT 服务台人员,诱使员工启动“快速助手”进行远程访问。这使得他们能够执行部署 Matanbuchus 的 PowerShell 脚本。
这种策略与之前与 Black Basta 勒索软件组织相关的社会工程方法相似,表明加载器和勒索软件操作之间的重叠性越来越强。
幕后:感染链和持久性
一旦受害者运行提供的脚本,就会下载一个压缩文件。其中包含以下内容:
- 重命名的 Notepad++ 更新程序 (GUP)
- 修改后的 XML 配置文件
- 代表加载器的恶意 DLL
Matanbuchus 执行后会收集系统数据、检查安全工具并确认权限级别,然后将详细信息传输到其命令与控制 (C2) 服务器。之后,其他有效载荷将以 MSI 包或可执行文件的形式传递。该恶意软件通过使用 COM 对象创建计划任务并注入 Shellcode 来实现持久性,这是一种兼具简单性和复杂性的技术。
隐身与控制:为何危险
该加载程序支持高级功能,包括 WQL 查询和远程命令,用于收集有关进程、服务和已安装应用程序的详细信息。它可以执行 regsvr32、rundll32、msiexec 等系统命令,甚至可以执行进程挖空,彰显了其灵活性。
威胁背后的定价和商业模式
该 MaaS 平台的价格因其功能集而飙升:
- HTTPS 版本每月 10,000 美元
- DNS 版本每月 15,000 美元
这些成本反映了恶意软件在网络犯罪生态系统中的有效性和需求。
Matanbuchus 和 MaaS 发展的宏观图景
最新版本体现了“隐身优先”加载器趋势,该加载器利用 LOLBins、COM 劫持和 PowerShell stager 来保持不被发现。它滥用 Microsoft Teams 和 Zoom 等协作工具,进一步加剧了企业安全风险。随着这些威胁的不断发展,研究人员强调将加载器检测集成到攻击面管理中。
