Matanbuchus 3.0: Новый уровень угрозы Ransomware через звонки в Microsoft Teams

В июле 2025 года Morphisec зафиксировала целевую атаку, где злоумышленники, выдавая себя за IT-поддержку через внешние вызовы в Teams, убеждали сотрудников активировать Quick Assist и запустить скрипт, загружающий Matanbuchus. Этот инцидент подчеркивает изощренность социальной инженерии, которая теперь дополнена техническими инновациями третьей версии.

Основные нововведения Matanbuchus 3.0 включают усовершенствованные протоколы коммуникации, поддержку непрямых системных вызовов (indirect syscalls) для обхода EDR, а также механизмы обратных оболочек через CMD и PowerShell. Зловред использует обновленный алгоритм шифрования Salsa20 с 256-битным ключом вместо устаревшего RC4, что усложняет анализ трафика и расшифровку конфигураций. Кроме того, добавлена возможность выполнения WQL-запросов для сбора данных о системе, что позволяет злоумышленникам точно оценивать окружение жертвы, включая наличие EDR-решений CrowdStrike, SentinelOne или Microsoft Defender.

Атака начинается с доставки ZIP-архива, содержащего модифицированный обновляющий клиент Notepad++ (GUP.exe), который через механизм DLL-подмены (side-loading) загружает вредоносный libcurl.dll. Ключевым элементом является поддельный XML-конфигурационный файл, использующий техники киберсквоттинга - например, домен notepad-plus-plu[.]org вместо легитимного notepad-plus-plus.org. После запуска Matanbuchus активирует сложную цепочку действий: проверяет разрядность системы через IsWow64Process, собирает данные о языке ОС (избегая русскоязычных окружений), генерирует уникальный ID на основе серийного номера тома и создает мьютекс для синхронизации.

При первом запуске загрузчик регистрирует COM-объект через CoCreateGuid, копирует себя в скрытую директорию %APPDATA% и внедряет персистентность через планировщик задач. Для этого используется шеллкод, который через ITaskService создает задачу EventLogBackupTask, запускающую regsvr32 с параметрами -e -n -i:"user" - это активирует экспорт DllInstall, избегая стандартных методов детектирования. Задача выполняется каждые 5 минут, обеспечивая постоянную связь с C2-сервером nicewk[.]com.

После установки персистентности Matanbuchus отправляет на сервер шифрованные данные о системе: имя пользователя, домен, версию ОС, привилегии и список активных EDR-процессов. Это позволяет операторам выбрать оптимальную тактику для второй стадии атаки. Загрузчик поддерживает несколько сценариев:

• Запуск исполняемых файлов (EXE/DLL/MSI) через ShellExecuteW.
• Hollowing-инъекция в процессы msiexec с прямыми системными вызовами (NtWriteVirtualMemory, NtResumeThread).
• Выполнение команд через cmd /Q /K или PowerShell.
• Установка MSI-пакетов через MsiInstallProductW.
• Сбор данных через WQL-запросы к службам, процессам и обновлениям.

Особую опасность представляет функция обратных оболочек, которая позволяет злоумышленникам получать прямой контроль над системой, а также обход EDR за счет динамического разрешения API через MurmurHash3 и подмены адресов syscall-инструкций. Индикаторы компрометации (IOCs) включают домены bretux[.]com, emorista[.]org и хеши libcurl.dll, такие как da9585d578f367cd6cd4b0e6821e67ff02eab731ae.

Эксперты Morphisec подчеркивают, что Matanbuchus 3.0 демонстрирует тренд на коммерциализацию сложных атак: HTTP-версия предлагается в даркнете за $10,000, а DNS-вариант - за $15,000.

IPv4

• 94.159.113.33

Domains

• bretux.com
• emorista.org
• fixuplink.com
• nicewk.com
• notepad-plus-plu.org

SHA256

• 0f41536cd9982a5c1d6993fac8cd5eb4e7f8304627f2019a17e1aa283ac3f47c
• 19fb41244558f3a7d469b79b9d91cd7d321b6c82d1660738256ecf39fe3c8421
• 211cea7a5fe12205fee4e72837279409ace663567c5b8c36828a3818aabef456
• 2ee3a202233625cdcdec9f687d74271ac0f9cb5877c96cf08cf1ae88087bec2e
• da9585d578f367cd6cd4b0e6821e67ff02eab731ae78593ab69674f649514872

• Matanbuchus Threat Analysis.pdf