Istraživači sajber sigurnosti označili su novu varijantu poznatog programa za učitavanje malicioznog softvera pod nazivom Matanbuchus , koji sadrži značajne funkcije za poboljšanje svoje prikrivenosti i izbjegavanje otkrivanja.
Matanbuchus je naziv za ponudu malicioznog softvera kao usluge (MaaS) koja može djelovati kao kanal za sljedeće korisne podatke , uključujući Cobalt Strike beacons i ransomware.
Prvi put reklamiran u februaru 2021. na rusk ogovorećim forumima o sajber kriminalu po cijeni od 2.500 dolara, maliciozni softver je korišten kao dio mamaca sličnih ClickFixu kako bi se prevarili korisnici koji posjećuju legitimne, ali kompromitovane stranice da ga ne koriste.
Matanbuchusove metode isporuke su se vremenom razvijale, koristeći phishing e-poruke koje upućuju na zamke vezane za Google Drive, drive-by preuzimanja sa kompromitovanih stranica, maliciozne MSI instalacijske programe i maliciozne oglašavanje . Korišten je za implementaciju raznih sekundarnih paketa, uključujući DanaBot, QakBot i Cobalt Strike, sve poznate prethodnike implementacije ransomware-a.
Najnovija verzija programa za učitavanje, poznata kao Matanbuchus 3.0, uključuje nekoliko novih funkcija, uključujući poboljšane tehnike komunikacijskog protokola, mogućnosti rada u memoriji, poboljšane metode obfuscationa, podršku za obrnutu ljusku CMD i PowerShell, te mogućnost pokretanja DLL, EXE i shellcode datoteka sljedeće faze, prema Morphisec-u.
Kompanija za sajber sigurnost saopštila je da je uočila maliozni softver u incidentu ranije ovog mjeseca gdje je neimenovana kompanija bila meta putem eksternih poziva Microsoft Teamsa koji su se predstavljali kao IT služba za podršku i prevarili zaposlenike da pokrenu Quick Assist za udaljeni pristup, a zatim izvrše PowerShell skriptu koja je implementirala Matanbuchus.
Vrijedi napomenuti da su slične taktike socijalnog inženjeringa koristili hakeri povezani s operacijom ransomwarea Black Basta.
„Žrtve se pažljivo ciljaju i nagovaraju da izvrše skriptu koja pokreće preuzimanje arhive“, rekao je Michael Gorelik, tehnički direktor Morphisec-a . „Ova arhiva sadrži preimenovani program za ažuriranje Notepad++ (GUP), neznatno izmijenjenu XML datoteku konfiguracije i maliciozni DLL koji se učitava sa strane i predstavlja Matanbuchus loader.“
Matanbuchus 3.0 je javno reklamiran po mjesečnoj cijeni od 10.000 dolara za HTTPS verziju i 15.000 dolara za DNS verziju.
Nakon pokretanja, maliciozni softver prikuplja sistemske informacije i pregledava listu pokrenutih procesa kako bi utvrdio prisustvo sigurnosnih alata. Takođe provjerava status svog procesa kako bi utvrdio da li se pokreće s administratorskim privilegijama.
Zatim šalje prikupljene podatke na komandno-kontrolni (C2) server kako bi primio dodatne korisne podatke u obliku MSI instalacijskih programa i prenosivih izvršnih datoteka. Upornost snimka postiže se postavljanjem planiranog zadatka.
„Iako zvuči jednostavno, programeri Matanbuchusa implementirali su napredne tehnike za zakazivanje zadataka korištenjem COM-a i ubrizgavanjem shellcode-a“, objasnio je Gorelik. „Sam shellcode je zanimljiv; implementira relativno osnovno API rješavanje (jednostavna poređenja stringova) i sofisticirano COM izvršavanje koje manipuliše ITaskService-om .“
Učitavač takođe dolazi opremljen funkcijama koje C2 server može daljinski pozvati kako bi prikupio sve izvršne procese, pokrenute servise i listu instaliranih aplikacija.
„Matanbuchus 3.0 Malware-as-a-Service evoluirao je u sofisticiranu prijetnju“, rekao je Gorelik. „Ova ažurirana verzija uvodi napredne tehnike kao što su poboljšani komunikacijski protokoli, prikrivanje u memoriji, poboljšano zamagljivanje i podrška za WQL upite, CMD i PowerShell obrnute ljuske.“
“Sposobnost programa za učitavanje podataka da izvršava naredbe regsvr32, rundll32, msiexec ili process hollowing naglašava njegovu svestranost, što ga čini značajnim rizikom za kompromitovane sisteme.”
Kako se maliciozni softver kao usluga razvija, Matanbuchus 3.0 se uklapa u širi trend prikrivenih učitavača koji se oslanjaju na LOLBins (živeće binarne datoteke), otmicu COM objekata i PowerShell stagere kako bi ostali ispod radara.
Istraživači prijetnji sve više mapiraju ove učitavače kao dio strategija upravljanja površinom napada i povezuju ih sa zloupotrebom alata za saradnju u preduzećima poput Microsoft Teamsa i Zooma.
Izvor:The Hacker News