HackerNews 编译,转载请注明出处:
网络安全研究人员近日发出警告,一种名为Matanbuchus的知名恶意软件加载器出现新变种,其新增多项功能显著增强隐蔽性以规避检测。
Matanbuchus是一种恶意软件即服务(MaaS),可作为传递后续攻击载荷的渠道,包括Cobalt Strike信标和勒索软件。该恶意软件自2021年2月起在俄语网络犯罪论坛以2500美元租用价格公开推广,曾被用于类似ClickFix的诱导攻击——通过诱骗用户访问遭入侵的合法网站触发恶意行为。
该加载器的独特之处在于其传播方式:通常不通过垃圾邮件或路过式下载扩散,而是采用直接交互式社会工程学手段,由攻击者直接欺骗用户执行。某些情况下,它被初始访问经纪人用于向勒索团伙出售企业网络入口,这种针对性部署使其比普通商业化加载器更具威胁。
据Morphisec分析,新版加载器(追踪为Matanbuchus 3.0)具备多项新特性:
- 改进的通信协议技术内存操作能力增强混淆技术升级支持CMD与PowerShell反向Shell可运行DLL、EXE及Shellcode等后续载荷
本月初观察到一起攻击案例:某企业员工收到伪装成IT服务台的微软Teams外部通话,攻击者诱骗其启动Quick Assist获取远程访问权限,最终通过PowerShell脚本部署Matanbuchus。值得注意的是,类似社工手段曾被Black Basta勒索组织使用。
“受害者被精准定位并诱骗执行脚本,该脚本触发下载含恶意载荷的压缩包”Morphisec首席技术官Michael Gorelik解释,“压缩包内包含重命名的Notepad++更新程序(GUP)、篡改的XML配置文件及用于侧加载的Matanbuchus恶意DLL”。
Matanbuchus 3.0当前公开租用价格为:HTTPS版本每月1万美元,DNS版本每月1.5万美元。恶意软件启动后执行以下操作:
- 收集系统信息并扫描运行进程以识别安全工具检测进程权限状态(是否以管理员身份运行)将信息发送至C2服务器获取MSI安装包或可执行文件等后续载荷通过创建计划任务实现持久化驻留
“开发者采用高阶技术实现任务调度:通过COM组件交互注入Shellcode”Gorelik进一步说明,“该Shellcode实现了基础的API解析(字符串比对)及操纵ITaskService的复杂COM执行流程”。
C2服务器还可远程触发加载器功能以:
- 收集所有运行中的进程和服务列表获取已安装应用程序清单
“Matanbuchus 3.0已进化为高度复杂的威胁”Gorelik总结道,“新版具备先进的通信协议、内存隐身技术、强化混淆能力,并支持WQL查询及CMD/PowerShell反向Shell。其通过regsvr32、rundll32、msiexec或进程镂空执行命令的多功能特性,大幅提升被入侵系统的风险等级”。
随着恶意软件即服务模式的演进,Matanbuchus 3.0体现了当前加载器的发展趋势:优先采用无文件攻击(LOLBins)、COM对象劫持和PowerShell分阶段加载等隐身技术规避检测。威胁研究人员正加紧将这些加载器纳入攻击面管理策略,并追踪其通过Microsoft Teams、Zoom等企业协作工具实施的滥用行为。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
