Исследователи из Zscaler ThreatLabz обнаружили в дикой природе новую, третью версию зловредного загрузчика Matanbuchus. Этот вредоносный инструмент, существующий с 2020 года и распространяемый по модели Malware-as-a-Service (MaaS, «вредоносное ПО как услуга»), продолжает эволюционировать, добавляя сложные функции для скрытности и повышая свою опасность. По данным аналитиков, Matanbuchus всё чаще ассоциируется с операциями по развертыванию программ-вымогателей (ransomware), что делает его серьезной угрозой для бизнеса.
Описание
Matanbuchus представляет собой бэкдор, основная функция которого - загрузка и выполнение дополнительных вредоносных модулей. Последняя версия 3.0 получила значительные изменения, включая использование Protocol Buffers (Protobufs) для сериализации данных сетевого взаимодействия, что усложняет анализ трафика. Основная архитектура состоит из двух модулей: загрузчика (downloader) и главного модуля (main module). Загрузчик отвечает за первоначальную компрометацию системы и получение основной полезной нагрузки (payload), в то время как главный модуль обеспечивает постоянное присутствие (persistence) и выполняет команды оператора.
Начальный вектор заражения в рассмотренном случае включал использование легитимного инструмента удаленного доступа QuickAssist, вероятно, в сочетании с социальной инженерией. После получения доступа злоумышленник вручную загружал и исполнял вредоносный пакет Microsoft Installer (MSI). Этот пакет, в свою очередь, запускал процесс, осуществляющий side-loading (подмену) легитимной библиотеки DLL вредоносной, которая и являлась загрузчиком Matanbuchus.
Для противодействия обнаружению и анализу Matanbuchus использует целый арсенал техник обфускации. Все строки в коде зашифрованы с использованием алгоритма ChaCha20. Кроме того, вредоносная программа динамически разрешает адреса необходимых функций Windows API, вычисляя их хэши с помощью алгоритма MurmurHash. Код также намеренно загроможден большим количеством «мусорных» инструкций и длительными циклами задержки. Последние призваны обмануть песочницы (sandboxes), которые часто прекращают анализ через короткий промежуток времени.
Модуль загрузчика содержит встроенный зашифрованный шелл-код, который отвечает за загрузку главного модуля. Для его расшифровки применяется метод атаки по известному открытому тексту (known-plaintext attack) с помощью перебора (bruteforce). После успешной расшифровки шелл-код загружает основную полезную нагрузку по HTTPS с командного сервера (C2).
Главный модуль Matanbuchus обеспечивает устойчивость в системе. После успешной регистрации зараженного хоста на C2-сервере, вредоносная программа получает и выполняет специальный шелл-код. Этот код создает запланированную задачу (scheduled task) с именем «Update Tracker Task», которая перезапускает Matanbuchus при каждой загрузке системы. Для этого используется команда, маскирующаяся под легитимный процесс "msiexec.exe". Файл копируется в уникальную папку внутри каталога APPDATA пользователя, имя которой генерируется на основе серийного номера тома диска.
Сетевое взаимодействие Matanbuchus построено по классической для бэкдоров схеме. Сначала происходит регистрация бота, в ходе которой на сервер отправляется детальная информация о системе: имя хоста и пользователя, версия Windows, домен, список установленных продуктов безопасности (включая Windows Defender, CrowdStrike Falcon, SentinelOne и другие), а также права доступа. После регистрации бот начинает запрашивать задачи.
Поддерживаемые команды демонстрируют широкий спектр возможностей Matanbuchus. Он может загружать и исполнять исполняемые файлы (EXE), библиотеки (DLL) и установочные пакеты (MSI) как на диск, так и путем инъекции в память процессов. Отдельные команды позволяют выполнять произвольный шелл-код, собирать информацию о системе (процессы, службы, установленное ПО, обновления) и запускать команды оболочки через CMD, PowerShell или WMI. Эта функциональность позволяет злоумышленникам проводить разведку, перемещаться по сети и в конечном итоге развертывать финальную полезную нагрузку, например, программу-вымогатель или инфостилер.
Исследователи отмечают, что в ходе наблюдений они зафиксировали кампании с использованием Matanbuchus для распространения таких угроз, как инфостилер Rhadamanthys и удаленный троян NetSupport RAT. Однако наиболее тревожным трендом является связь Matanbuchus с операциями, характерными для ручного (hands-on-keyboard) внедрения программ-вымогателей. Простота использования в рамках модели MaaS в сочетании с развивающимися возможностями скрытности сделали этот загрузчик привлекательным инструментом для различных киберпреступных групп.
В заключение, Matanbuchus представляет собой постоянно развивающуюся угрозу, которая адаптируется для уклонения от систем защиты. Его растущая популярность среди actors, связанных с ransomware, подчеркивает необходимость для организаций применять многослойную стратегию безопасности. Критически важно отслеживать аномальную активность, связанную с легитимными инструментами вроде QuickAssist или "msiexec.exe", а также использовать решения, способные обнаруживать сложные техники обфускации и вредоносное поведение на ранних стадиях атаки.
Индикаторы компрометации
Domains
- gpa-cro.com
- mechiraz.com
SHA256
- 3ac90c071d143c3240974618d395fa3c5228904c8bf0a89a49f8c01cd7777421
- 6246801035e053df2053b2dc28f4e76e3595fb62fdd02b5a50d9a2ed3796b153
- 77a53dc757fdf381d3906ab256b74ad3cdb7628261c58a62bcc9c6ca605307ba
- 92a2e2a124a106af33993828fb0d4cdffd9dac8790169774d672c30747769455
