Temmuz 2025’te Microsoft Teams’in Matanbuchus fidye yazılımlarının en son yinelemesini dağıtma çağrılarını silahlandıran sofistike bir siber saldırı kampanyası ortaya çıktı.
Saldırı, Dış Ekipler Aramaları aracılığıyla yardım masası personelini taklit eden rakiplerle başlar ve sosyal mühendislik taktiklerini çalışanları kötü niyetli senaryolar yürütmeye ikna etmek için kullanır.
Bu hileli destek oturumları sırasında, saldırganlar Hızlı Yardımı etkinleştirir ve kurbanlara, sonuçta Matanbuchus 3.0 yükleyicisini dağıtan PowerShell komutlarını çalıştırmalarını ve kötü amaçlı yazılımların teslimat mekanizmalarında önemli bir evrimi işaretlemelerini söyler.
2021’den beri hizmet olarak kötü amaçlı yazılım (MAAS) platformu olarak faaliyet gösteren Matanbuchus, üçüncü yinelemesinde önemli geliştirmeler geçirdi.
.webp)
Kötü amaçlı yazılım, öncelikle uzatılmış Windows sistemlerinde ikincil yükleri indirmek ve yürütmek için tasarlanmış ve fidye yazılımı dağıtımında sıklıkla sonuçlanan çeşitli siber saldırılar için kritik bir giriş noktası olarak görev yapmak için tasarlanmış sofistike bir yükleyici olarak işlev görür.
En son sürüm, iyileştirilmiş iletişim protokolleri, gelişmiş gizleme teknikleri ve saldırganların mağdurun güvenlik altyapısına göre sonraki saldırıları uyarlamasını sağlayan kapsamlı sistem keşif özellikleri gibi gelişmiş yetenekler sunmaktadır.
Morphisec analistleri, bu kampanyayı, müşteri ortamlarının aktif olarak izlenmesi sırasında belirledi ve yeraltı forumlarındaki kamuya açık reklamdan önce Matanbuchus 3.0’ın HTTP varyantını ele geçirdi.
.webp)
Kötü amaçlı yazılım şu anda HTTP varyantı için 10.000 $ ve DNS varyantı için 15.000 $ ‘dan teklif ediliyor ve operatörlerin etkinliğine olan güvenini ve gelişimine yatırılan önemli kaynakları gösteriyor.
Araştırmacılar, müdahalenin kötü amaçlı yazılımların kamuya açıklanmasından önce meydana geldiğini, rakiplerin HTTP yükleyicisini güvenilir çevrelerde dağıttığını veya kendi operasyonlarında kullandığını düşündürdü.
Saldırı metodolojisi, kötü niyetli amaçlar için meşru iş iletişim platformlarından yararlanmaya yönelik bir kaymayı temsil etmektedir.
Mağdurlar, Microsoft ekipleri aracılığıyla görünüşte otantik BT destek çağrıları alarak kötü niyetli talimatların yürütülmesini kolaylaştıran bir güven ortamı oluşturuyorlar.
Saldırganların meşru bir Microsoft uzaktan yardım aracı olan Quick Assist kullanımı, kötü niyetli yüklerini dağıtmak için gerekli erişimi sağlarken mağdur sistemlerindeki varlığını daha da meşrulaştırır.
Bu kampanya, geleneksel e-posta tabanlı kimlik avı saldırılarının güvenilir platformlar aracılığıyla doğrudan ses iletişimi ile desteklendiği fidye yazılımı dağıtım mekanizmalarının gelişen manzarasını göstermektedir.
.webp)
Sosyal mühendisliğin takım çağrıları ve Matanbuchus 3.0’ın teknik sofistike birleşimi, geleneksel güvenlik farkındalığı eğitimi ve teknik kontrolleri atlayabilen müthiş bir tehdit yaratıyor.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Matanbuchus 3.0 yükleyici, Windows görev zamanlayıcısını com manipülasyon ve kabuk kodu yürütme yoluyla kullanan sofistike bir kalıcılık mekanizması kullanır.
.webp)
Başarılı başlangıç enfeksiyonu üzerine, kötü amaçlı yazılım, her beş dakikada bir yürüterek sürekli sistem varlığı ve komut ve kontrol iletişimini sağlayan “EventLogbackUptask” adlı planlanmış bir görev oluşturur.
.webp)
Kalıcılık uygulaması, regsvr32 parametrelerinin benzersiz bir kombinasyonunu kullanır: regsvr32 -e -n -i:"user".
Bu teknik özellikle -e parametre hataları bastırırken sessizce yürütülür, -n Parametre, yükleyicinin kayıt defterini değiştirmeden çalışmasını sağlar ve -i:"user" Parametre, dışa aktarılan dllinstall işlevini otomatik olarak tetikler.
Bu yaklaşım, geleneksel DLLRegisterserver veya DLLUNGISTERSERver işlevlerinden önemli ölçüde daha az izlenir, bu da algılamayı güvenlik çözümleri için daha zor hale getirir.
Kötü amaçlı yazılımların komuta ve kontrol iletişimi, meşru Skype masaüstü trafiğini taklit ederek gelişmiş kaçırma tekniklerini gösterir.
Yükleyici kullanıcı aracısı dizesini kullanır Skype/8.69.0.77 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 NiceWK’da C2 Sunucusu ile iletişim kurarken normal ağ trafiğiyle karışmak için[.]Port 443 üzerinden com.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi