Ερευνητές κυβερνοασφάλειας εντόπισαν μια νέα παραλλαγή ενός γνωστού malware loader με το όνομα Matanbuchus, η οποία ενσωματώνει σημαντικές λειτουργίες για την ενίσχυση της αορατότητας και την αποφυγή εντοπισμού.
Το Matanbuchus είναι ένα κακόβουλο λογισμικό ως υπηρεσία (malware-as-a-service – MaaS) που μπορεί να λειτουργήσει ως αγωγός για επόμενα φορτία, όπως beacons του Cobalt Strike και λυτρισμικό.
Πρώτη φορά διαφημίστηκε τον Φεβρουάριο του 2021 σε ρωσόφωνα φόρουμ κυβερνοεγκλήματος με τιμή ενοικίασης τα $2.500, και έχει χρησιμοποιηθεί σε εκστρατείες που θυμίζουν το ClickFix, εξαπατώντας χρήστες που επισκέπτονται νόμιμες αλλά παραβιασμένες ιστοσελίδες.
Εξέλιξη των μεθόδων διάδοσης του Matanbuchus
Οι μέθοδοι διάδοσης του Matanbuchus έχουν εξελιχθεί με τον καιρό, χρησιμοποιώντας phishing emails με συνδέσμους προς παγιδευμένα Google Drive, λήψεις μέσω drive-by από παραβιασμένες ιστοσελίδες, κακόβουλα MSI installers και malvertising. Έχει χρησιμοποιηθεί για την εγκατάσταση δευτερευόντων φορτίων όπως τα DanaBot, QakBot και Cobalt Strike, τα οποία συνδέονται με μελλοντικές επιθέσεις με λυτρισμικό.
Η τελευταία έκδοση του loader, με ονομασία Matanbuchus 3.0, περιλαμβάνει νέες δυνατότητες, όπως βελτιωμένες τεχνικές επικοινωνίας, δυνατότητες εκτέλεσης στη μνήμη, εξελιγμένες τεχνικές απόκρυψης, υποστήριξη για αντίστροφα shell μέσω CMD και PowerShell, και ικανότητα εκτέλεσης DLL, EXE και shellcode ως επόμενο στάδιο, σύμφωνα με τη Morphisec.
Επίθεση μέσω Microsoft Teams με πρόφαση το IT support
Η εταιρεία κυβερνοασφάλειας ανέφερε ότι παρατήρησε το κακόβουλο λογισμικό σε περιστατικό νωρίτερα μέσα στον μήνα, όπου ανώνυμη εταιρεία στοχοποιήθηκε μέσω εξωτερικών κλήσεων στο Microsoft Teams, οι οποίες υποδύονταν το τεχνικό τμήμα IT και έπεισαν υπαλλήλους να ξεκινήσουν το Quick Assist για απομακρυσμένη πρόσβαση, εκτελώντας στη συνέχεια PowerShell script που εγκαθιστούσε το Matanbuchus.
Αξίζει να σημειωθεί ότι παρόμοιες τακτικές κοινωνικής μηχανικής έχουν χρησιμοποιηθεί και από φορείς που σχετίζονται με τη συμμορία του λυτρισμικού Black Basta.
«Τα θύματα στοχοποιούνται προσεκτικά και πείθονται να εκτελέσουν ένα script που ενεργοποιεί τη λήψη ενός αρχείου zip», δήλωσε ο τεχνικός διευθυντής της Morphisec, Michael Gorelik. «Αυτό το αρχείο περιλαμβάνει έναν μετονομασμένο updater του Notepad++ (GUP), ένα ελαφρώς τροποποιημένο αρχείο XML ρυθμίσεων και ένα κακόβουλο side-loaded DLL που αντιπροσωπεύει τον loader του Matanbuchus».
Το Matanbuchus 3.0 έχει διαφημιστεί δημόσια με τιμή ενοικίασης $10.000 ανά μήνα για την έκδοση μέσω HTTPS και $15.000 για την έκδοση μέσω DNS.
Συλλογή πληροφοριών και παραμονή στο σύστημα
Μετά την εκκίνηση, το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος και εξετάζει τις τρέχουσες διεργασίες για να εντοπίσει εργαλεία ασφάλειας. Ελέγχει επίσης αν εκτελείται με δικαιώματα διαχειριστή.
Κατόπιν στέλνει τα δεδομένα που έχει συγκεντρώσει σε command-and-control (C2) server, για να λάβει επιπλέον φορτία με τη μορφή MSI installers και portable executables. Η μονιμότητα εξασφαλίζεται με δημιουργία προγραμματισμένης εργασίας (scheduled task).
«Παρόλο που ακούγεται απλό, οι δημιουργοί του Matanbuchus υλοποίησαν προηγμένες τεχνικές για να δημιουργήσουν την εργασία μέσω χρήσης COM και έγχυσης shellcode», εξήγησε ο Gorelik.
«Το ίδιο το shellcode είναι ενδιαφέρον· υλοποιεί μια σχετικά βασική ανάλυση API (με απλές συγκρίσεις συμβολοσειρών), και μια σύνθετη εκτέλεση COM που χειραγωγεί το ITaskService».
Μαζική παρακολούθηση και απομακρυσμένος έλεγχος
Ο loader διαθέτει επίσης λειτουργίες που μπορούν να ενεργοποιηθούν απομακρυσμένα από τον C2 server, ώστε να συλλέγει πληροφορίες για όλες τις εκτελούμενες διεργασίες, τις ενεργές υπηρεσίες και τις εγκατεστημένες εφαρμογές.
«Το Matanbuchus 3.0 έχει εξελιχθεί σε μια προηγμένη απειλή», δήλωσε ο Gorelik. «Αυτή η ανανεωμένη έκδοση εισάγει προηγμένες τεχνικές όπως βελτιωμένα πρωτόκολλα επικοινωνίας, stealth εκτέλεση στη μνήμη, εξελιγμένη απόκρυψη, και υποστήριξη για ερωτήματα WQL, CMD και PowerShell reverse shells.»
«Η δυνατότητα του loader να εκτελεί regsvr32, rundll32, msiexec ή εντολές process hollowing καταδεικνύει την ευελιξία του, καθιστώντας τον σημαντικό κίνδυνο για τα παραβιασμένα συστήματα».
Καθώς η αγορά malware-as-a-service εξελίσσεται, το Matanbuchus 3.0 εντάσσεται σε μια ευρύτερη τάση stealth-first φορτωτών που βασίζονται σε LOLBins (living-off-the-land binaries), απαγωγή αντικειμένων COM και PowerShell stagers για να παραμένουν κάτω από το ραντάρ.
Οι αναλυτές απειλών καταγράφουν ολοένα και περισσότερο αυτούς τους φορτωτές ως μέρος των στρατηγικών διαχείρισης επιφάνειας επίθεσης, συνδέοντάς τους με κατάχρηση εργαλείων συνεργασίας όπως το Microsoft Teams και το Zoom.
