Sofistike bir siber saldırı kampanyası, Microsoft ekiplerinin taklit edilmesi yoluyla hedefleme organizasyonlarını ortaya çıkardı ve fidye yazılımı dağıtımının öncüsü olarak hizmet veren güncellenmiş Matanbuchus 3.0 kötü amaçlı yazılım yükleyicisini sundu.
Morphisec’teki güvenlik araştırmacıları, saldırganların harici ekip çağrıları sırasında BT yardım masası personelini taklit ederek sistemleri başarıyla tehlikeye attıkları ve sonuçta gelişmiş kötü amaçlı yazılım yükleyicisini dağıtan kötü amaçlı komut dosyalarının yürütülmesine yol açtığı durumları belirlediler.
Saldırı metodolojisi, siber suçluların Microsoft ekipleri aracılığıyla kurbanlarla temasa geçtikleri ve kendilerini meşru BT destek personeli olarak sundukları sosyal mühendislik taktiklerini içerir.
Bu hileli etkileşimler sırasında, saldırganlar şüpheli olmayan çalışanlara hızlı yardımı etkinleştirmeleri ve kötü amaçlı yazılım dağıtım sürecini başlatan PowerShell komut dosyalarını yürütmeleri için rehberlik eder.
Bu teknik, saldırı vektörlerinde önemli bir evrimi temsil eder ve geleneksel güvenlik önlemlerini aşmak için tanıdık iş iletişim platformlarıyla ilişkili güveni kullanır.
Hizmet Olarak Geliştirilmiş Kötü Yazılım Platformu
Matanbuchus, 2021’deki ilk dağıtımından bu yana önemli ölçüde gelişti, şu anda HTTP varyantları için yakın zamanda piyasaya sürüm 3.0 komuta fiyatları ve yeraltı pazarlarındaki DNS varyantları için 15.000 dolar olan sofistike bir hizmet olarak kötü amaçlı yazılım platformu olarak faaliyet gösterdi.
Kötü amaçlı yazılımların birincil işlevi, ilk sistem uzlaşmasını oluşturmayı ve fidye yazılımı da dahil olmak üzere ikincil yüklerin dağıtılmasını kolaylaştırmayı ve onu çok aşamalı saldırı zincirlerinde kritik bir bileşen haline getirmeyi içerir.
Güncellenmiş sürüm, daha önce kullanılan RC4 algoritmasının yerini alan 256 bit tuşlarla Salsa20 şifrelemesini kullanan gelişmiş gizleme tekniklerini içerir.
Bu geliştirme, komut ve kontrol sunucuları ile iletişimi sürdürürken kötü amaçlı yazılımların algılamadan kaçınma yeteneğini önemli ölçüde geliştirir.
Yükleyici şimdi API çözünürlüğü için MurMurHash3 algoritmaları kullanıyor ve geliştiricilerin güvenlik algılama mekanizmalarının önünde kalma taahhüdünü gösteriyor.
Kalıcılık mekanizmaları önemli ölçüde rafine edilmiştir, kötü amaçlı yazılım şimdi sofistike com manipülasyon ve Shellcode enjeksiyon teknikleri yoluyla planlanmış görevler oluşturur.
Yükleyici, sistem hacmi seri numaralarına dayalı benzersiz tanımlayıcılar oluşturur ve komut ve kontrol altyapısı ile sürekli iletişimi sağlayan kayıt defteri girişleri oluşturur.
Bu kalıcılık stratejisi, kötü amaçlı yazılımların sistem yeniden başlatılmasından veya güvenlik taramalarından sonra bile tehlikeye atılan sistemlerde dayanağını koruyabilmesini sağlar.
Gelişmiş teknik özellikler
Kötü amaçlı yazılım, güvenlik kontrolleri, sistem konfigürasyonları ve yüklü uygulamalar dahil olmak üzere tehlikeye atılan ortam hakkında kapsamlı bilgi toplayarak sofistike sistem keşif yeteneklerini gösterir.
Matanbuchus 3.0, Windows Defender, Crowdstrike Falcon, Sentinelone, Sophos EDR, Trellix, Cortex XDR, Bitdefender GravityZone EDR, ESET Enterprise Müfettişi ve Symantec uç nokta tespiti ve yanıtı dahil olmak üzere ana uç nokta tespiti ve yanıt çözümlerinin varlığını özel olarak tanımlar.
Bu istihbarat toplama, kötü amaçlı yazılımların yürütme stratejilerini hedef sistemde bulunan güvenlik yığınına göre uyarlamasını sağlar.
Yükleyici, hem doğrudan yürütme hem de proses oyma tekniklerini destekleyerek MSI yükleyicileri, DLL dosyaları, yürütülebilir ürünler ve kabuk kodu dahil olmak üzere çeşitli yük türlerini yürütebilir.
Kötü amaçlı yazılım, komut ve kontrol iletişimi sırasında normal ağ trafiği ile karıştırmak için Skype Desktop (sürüm 8.69.0.77) gibi meşru uygulamaları taklit eder.
Komut yürütme özellikleri arasında doğrudan CMD ve PowerShell komut yürütmesi, sistem bilgileri toplama için WQL sorgu desteği ve MSI paketlerini yönetim ayrıcalıklarına sahip yükleme yeteneği bulunur.
Yükleyici, doğrudan API çağrılarını izleyen güvenlik çözümleri tarafından tespit etmek için dolaylı sistem çağrıları kullanır ve tipik olarak devlet destekli kötü amaçlı yazılımlarla ilişkili gelişmiş kaçma tekniklerini gösterir.
Teslimat mekanizması, Not Defarı-Plus-PLU gibi alanları kullanarak siber tutma tekniklerini içerir[.]Kötü amaçlı güncelleme paketlerini barındırmak için org (meşru not defteri-plus-plus.org’dan ‘s’ eksik).
Bu paketler, Matanbuchus yükünü silen kötü amaçlı DLL dosyalarının yanı sıra meşru Not Defteri ++ Güncelleyici bileşenleri içerir.
Saldırı zinciri, bu paketleri indirip yürüten PowerShell komut dosyalarıyla başlar ve daha fazla kötü niyetli etkinlik sağlayan ilk uzlaşma vektörünü oluşturur.
Uzlaşma Göstergeleri (IOCS)
| Karma/url | Tanım |
|---|---|
| 94.159.113[.]33 – Fixuplink[.]com [RU] | Komut ve Kontrol Sunucusu |
| bretux[.]com | Kötü niyetli alan |
| güzel[.]com | Komut ve Kontrol Etki Alanı |
| Emori’den[.]org | Kötü niyetli alan |
| not defteri[.]org | Kötü amaçlı güncelleme konumu |
| DA9585D578F367CD6CD4B0E6821E67FF02EAB731AE78593AB69674F649514872 | libcurl.dll (SHA256) |
| 2ee3a202233625cdcdec9f687d74271ac0f9cb5877c96cf08cf1ae88087bec2e | libcurl.dll (SHA256) |
| 19FB41244558F3A7D469B79B9D91CD7D321B6C82D1660738256ECF39FE3C8421 | libcurl.dll (SHA256) |
| 211CEA7A5FE12205FEE4E7283727940909ACE66367C5B8C36828A3818AABEF456 | libcurl.dll (SHA256) |
| 0F41536CD9982A5C1D6993FAC8CD5B4E7F8304627F2019A17E1AA283AC3F47C | libcurl.dll (SHA256) |
| EventlogbackUptask | Zamanlanmış Görev Adı |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now