Matanbuchus 恶意软件

Matanbuchus 恶意软件是一种威胁加载程序，在地下黑客论坛和市场上以恶意软件即服务计划 (MaaS) 的形式提供。 Matanbuchus 的创造者是以 BelialDemon 的名义运作的威胁行为者。根据销售宣传，潜在客户必须支付 2500 美元的初始租金才能获得威胁。被称为加载程序的恶意软件子集通常是在攻击链的早期阶段丢弃的威胁，负责在受感染系统上获取并执行下一阶段的有效负载。总的来说，Matanbuchus 坚守自己的角色，其主要的恶意功能是 - 在内存中启动 .exe 和 .dll 文件、执行 PowerShell 命令、使用 schtasks.exe 篡改任务计划，以及强制独立可执行文件加载特定的 DLL。

初始攻击向量

Palo Alto Networks 的 Unit 42 的信息安全研究人员发现了 Matanbuchus，他们也能够确定黑客用来传递威胁的手段。攻击的初始向量是带有损坏宏的诱饵 Microsoft Excel 文档。威胁行为者已经显示出持续的趋势，抛弃通常的武器化 Microsoft Word 文档并转向 Excel 文件。解释很简单——Excel 的内置特性允许威胁行为者在整个文档的电子表格单元格中分发他们损坏的代码，实现一定程度的混淆并使分析和检测变得更加困难。当用户执行 Excel 文件并启用其宏时，该文件的受损编码将从特定位置 (idea-secure-login[.]com) 获取名为“ddg.dll”的 DLL 文件。然后该文件将作为“hcRlCTg.dll”保存在受害者的系统上。这实际上是 Matanbuchus 恶意软件的 DLL 文件。

Matanbuchus 恶意软件的结构

加载程序威胁包含两个 DLL 文件 - MatanbuchusDroper.dll 和 Matanbuchus.dll。顾名思义，第一个文件的主要功能是传送主要的恶意软件文件。但是，此外，它还通过 GetCursorPos、IsProcessorFeaturePresent、cpuid、GetSystemTimeAsFileTime 和 QueryPerformanceCounter 检查沙箱或调试工具的本机环境。下一步是下载名为“AveBelial.xml”的 XML 文件伪装下的主要 Matanbuchus DLL。该威胁通过生成计划任务来运行新删除的 DLL 文件来激活持久性机制。

Matanbuchus 尝试通过使用典型系统文件名的近似值在本机系统中混合其文件。例如，威胁将其主要组件命名为 shell96，而不是合法的 shell32 或 shell64。应该注意的是，Matanbuchus.dll 与其他 DLL 文件类似，但黑客花了更多时间为其配备额外的混淆和编码技术，以掩盖其字符串和可执行代码。

用户和组织应密切关注该威胁，因为它已被用于世界各地的攻击活动。到目前为止，Matanbuchus 恶意软件已针对几个不同的组织部署，其中包括美国一所大型大学和一所高中以及来自比利时的一家高科技组织。