Siber güvenlik araştırmacıları, bilinen bir kötü amaçlı yazılım yükleyicisinin yeni bir çeşidini işaretledi. Matanbuchus Bu, gizliliğini geliştirmek ve tespitten kaçınmak için önemli özelliklere sahiptir.
Matanbuchus, kobalt grev işaretleri ve fidye yazılımı da dahil olmak üzere gelecek aşamalı yükler için bir kanal görevi görebilecek bir hizmet olarak kötü amaçlı yazılım (MAAS) için verilen addır.
İlk olarak Şubat 2021’de Rusça konuşan siber suç forumlarında 2.500 $ kira fiyatı için reklamı yapılan kötü amaçlı yazılımlar, çalıştırmayan meşru ama işbirlikli siteleri ziyaret eden kullanıcıları kandırmak için ClickFix benzeri yemlerin bir parçası olarak kullanıldı.
Matanbuchus yükleyiciler arasında öne çıkıyor çünkü genellikle spam e-postaları veya sürüşle indirmelerden yayılmıyor. Bunun yerine, genellikle saldırganların kullanıcıları doğrudan kandırdığı uygulamalı sosyal mühendislik kullanılarak konuşlandırılır. Bazı durumlarda, fidye yazılımı gruplarına giriş satan brokerler tarafından kullanılan ilk erişimi destekler. Bu, onu tipik emtia yükleyicilerinden daha hedefli ve koordineli hale getirir.
Matanbuchus 3.0 olarak izlenen yükleyicinin en son sürümü, geliştirilmiş iletişim protokolü teknikleri, bellek içi yetenekler, gelişmiş gizleme yöntemleri, CMD ve Powershell ters kabuk desteği ve sonraki aşamalı DLL, EXE ve Shellcode yüklerini çalıştırma yeteneği dahil olmak üzere birçok yeni özellik içerir.
Siber güvenlik şirketi, bu ayın başlarında, isimsiz bir şirketin bir BT yardım masasını taklit eden ve çalışanları uzaktan erişim için hızlı yardım başlatmaya ve daha sonra Matanbuchus’u konuşlandıran bir PowerShell betiğini yürütmeye yönlendiren çağrılarla isimsiz bir şirketin hedeflendiği bir olayda kötü amaçlı yazılımları gözlemlediğini söyledi.
Benzer sosyal mühendislik taktiklerinin siyah Basta fidye yazılımı operasyonu ile ilişkili tehdit aktörleri tarafından kullanıldığını belirtmek gerekir.
Morphisec CTO Michael Gorelik, “Kurbanlar, bir arşivin indirilmesini tetikleyen bir senaryo yürütmeye özenle hedefleniyor ve ikna ediliyor.” Dedi. “Bu arşiv, yeniden adlandırılmış bir Notepad ++ güncelleyici (GUP), hafifçe değiştirilmiş bir yapılandırma XML dosyası ve Matanbuchus yükleyicisini temsil eden kötü amaçlı yandan yüklü bir DLL içerir.”
Matanbuchus 3.0, HTTPS sürümü için aylık 10.000 $ ve DNS sürümü için 15.000 $ karşılığında kamuya açık olarak ilan edildi.
Başlatıldıktan sonra, kötü amaçlı yazılım sistem bilgilerini toplar ve güvenlik araçlarının varlığını belirlemek için çalışan süreçler listesi üzerinde yinelenir. Ayrıca, idari ayrıcalıklarla çalışıp çalışmadığını kontrol etmek için sürecinin durumunu kontrol eder.
Daha sonra, toplanan ayrıntıları MSI yükleyicileri ve taşınabilir yürütülebilir ürünler şeklinde ek yükler almak için bir komut ve kontrol (C2) sunucusuna gönderir. Çekimde kalıcılık planlanmış bir görev oluşturarak elde edilir.
Gorelik, “Basit görünse de, Matanbuchus geliştiricileri, COM kullanımı ve kabuk kodu enjeksiyonu yoluyla bir görev planlamak için gelişmiş teknikler uyguladılar.” “Shellcode’un kendisi ilginçtir; nispeten temel bir API çözünürlüğü (basit dize karşılaştırmaları) ve Itaskservice’i manipüle eden sofistike bir com yürütme uygular.”
Yükleyici ayrıca, tüm yürütme işlemlerini, çalışan hizmetleri ve yüklü uygulamaların bir listesini toplamak için C2 sunucusu tarafından uzaktan çağrılabilen özelliklerle birlikte gelir.
Gorelik, “Matanbuchus 3.0 hizmet olarak kötü amaçlı yazılımlar sofistike bir tehdide dönüştü.” Dedi. “Bu güncellenmiş sürüm, gelişmiş iletişim protokolleri, bellek içi gizlilik, gelişmiş şaşkınlık ve WQL sorguları, CMD ve PowerShell ters kabukları için destek gibi gelişmiş teknikler sunuyor.”
“Yükleyicinin regsvr32, rundll32, msiexec veya proses oyma komutları yürütme yeteneği, çok yönlülüğünün altını çizerek, tehlikeye atılan sistemler için önemli bir risk haline getiriyor.”
Hizmet olarak kötü amaçlı yazılımlar geliştikçe, Matanbuchus 3.0, lolbins’e (kara geçirme ikili işleri), com nesnesi kaçırma ve Powershell stagers’ın radarın altında kalmaları için daha geniş bir ilk yükleyicilere uyuyor.
Tehdit araştırmacıları, bu yükleyicileri saldırı yüzey yönetimi stratejilerinin bir parçası olarak giderek daha fazla eşlemekte ve bunları Microsoft Teams ve Zoom gibi kurumsal işbirliği araçlarının kötüye kullanılmasına bağlıyor.