Matanbuchus 3.0惡意軟體
Matanbuchus 是一個臭名昭著的惡意軟體即服務 (MaaS) 平台,旨在傳播下一階段的有效載荷,例如 Cobalt Strike 信標和勒索軟體。該惡意軟體於 2021 年 2 月首次在俄語論壇上以 2,500 美元的價格推廣,並迅速成為威脅行為者的首選。攻擊者已將其用於類似 ClickFix 的攻擊活動中,透過合法但已被入侵的網站誘騙用戶。
目錄
交付策略和不斷演變的威脅載體
該惡意軟體的傳播技術日益複雜。最初的攻擊活動主要依靠釣魚郵件將受害者引導至惡意的 Google Drive 連結。隨著時間的推移,攻擊者不斷擴展其武器庫,包括:
- 從受感染網站進行驅動下載
- 惡意 MSI 安裝程式
- 惡意廣告活動
據觀察,Matanbuchus 部署了 DanaBot、QakBot 和 Cobalt Strike 等次要有效載荷,這些載荷通常被用作勒索軟體感染的墊腳石。
Matanbuchus 3.0:高階功能與特性
最新版本的「馬坦布丘斯」3.0 引入了多項重大改進,以提高隱身性和持久性。關鍵升級包括:
- 先進的通訊協定技術
- 記憶體執行以實現隱身
- 增強混淆以逃避偵測
- 透過 CMD 和 PowerShell 支援反向 shell
- 能夠啟動 DLL、EXE 和 Shellcode 酬載
這種演進凸顯了惡意軟體在促進高階、多階段攻擊中的作用。
現實世界的利用:透過 Microsoft Teams 進行社會工程
研究人員發現了一項針對一家未具名公司的攻擊活動,該活動於 2025 年 7 月發動。攻擊者在外部 Microsoft Teams 通話中冒充 IT 服務台人員,誘使員工啟動「快速助理」進行遠端存取。這使得他們能夠執行部署 Matanbuchus 的 PowerShell 腳本。
這種策略與先前與 Black Basta 勒索軟體組織相關的社會工程方法相似,表明載入器和勒索軟體操作之間的重疊性越來越強。
幕後:感染鍊和持久性
一旦受害者運行提供的腳本,就會下載一個壓縮檔案。其中包含以下內容:
- 重新命名的 Notepad++ 更新程式 (GUP)
- 修改後的 XML 設定檔
- 代表載入器的惡意 DLL
Matanbuchus 執行後會收集系統資料、檢查安全工具並確認權限級別,然後將詳細資訊傳輸到其命令與控制 (C2) 伺服器。之後,其他有效載荷將以 MSI 套件或可執行檔的形式傳遞。該惡意軟體透過使用 COM 物件建立排程任務並注入 Shellcode 來實現持久性,這是一種兼具簡單性和複雜性的技術。
隱身與控制:為何危險
此載入程式支援進階功能,包括 WQL 查詢和遠端命令,用於收集有關進程、服務和已安裝應用程式的詳細資訊。它可以執行 regsvr32、rundll32、msiexec 等系統指令,甚至可以執行流程挖空,彰顯了其彈性。
威脅背後的定價和商業模式
該 MaaS 平台的價格因其功能集而飆升:
- HTTPS 版本每月 10,000 美元
- DNS 版本每月 15,000 美元
這些成本反映了惡意軟體在網路犯罪生態系統中的有效性和需求。
Matanbuchus 和 MaaS 發展的宏觀圖景
最新版本體現了「隱身優先」載入器趨勢,該載入器利用 LOLBins、COM 劫持和 PowerShell stager 來保持不被發現。它濫用 Microsoft Teams 和 Zoom 等協作工具,進一步加劇了企業安全風險。隨著這些威脅的不斷發展,研究人員強調將載入器偵測整合到攻擊面管理中。
