Các nhà nghiên cứu cảnh báo về chiến dịch phần mềm độc hại ‘Matanbuchus’ Làm rơi các biểu tượng tấn công Cobalt

Một dưới dạng dịch vụ (Maas) được lồng tiếng Matanbuchus đã được quan sát thấy lây lan thông qua các chiến dịch lừa đảo, cuối cùng đã loại bỏ khuôn khổ khai thác sau Cobalt Strike trên các máy bị xâm nhập.

Matanbuchus, giống như các trình tải phần mềm độc hại khác như BazarLoader, Bumblebee và Colibri, được thiết kế để tải xuống và thực thi các tệp thực thi giai đoạn hai từ máy chủ lệnh và kiểm soát (C&C) trên các hệ thống bị nhiễm mà không bị phát hiện.

Có sẵn trên các diễn đàn nói tiếng Nga với mức giá 2.500 USD kể từ tháng 2 năm 2021, phần mềm độc hại này được trang bị khả năng khởi chạy các tệp .EXE và .DLL trong bộ nhớ và chạy các lệnh PowerShell tùy ý.

Các phát hiện được công ty tình báo mối đe dọa Cyble công bố vào tuần trước, ghi lại chuỗi lây nhiễm mới nhất liên quan đến bộ nạp, được liên kết với một tác nhân đe dọa có biệt danh trực tuyến là BelialDemon.

Các nhà nghiên cứu Jeff White và Kyle Wilhoit của Đơn vị 42 đã lưu ý trong một báo cáo tháng 6 năm 2021: “Nếu chúng ta nhìn về mặt lịch sử, BelialDemon đã tham gia vào việc phát triển các trình tải phần mềm độc hại. “BelialDemon được coi là nhà phát triển chính của TriumphLoader, một trình tải trước đây đã được đăng trên một số diễn đàn và có kinh nghiệm bán loại phần mềm độc hại này.”

Xem tiếp:   [eBook] 90 ngày đầu tiên của bạn với tư cách MSSP: 10 bước để thành công

Các email spam phân phối Matanbuchus đi kèm với tệp đính kèm ZIP chứa tệp HTML, khi mở, giải mã nội dung Base64 được nhúng trong tệp và thả tệp ZIP khác vào hệ thống.

Đến lượt mình, tệp lưu trữ bao gồm tệp trình cài đặt MSI hiển thị thông báo lỗi giả khi thực thi trong khi lén lút triển khai tệp DLL (“main.dll”) cũng như tải xuống cùng một thư viện từ máy chủ từ xa (“telemetrysystemcollection[.]com “) như một tùy chọn dự phòng.

Các nhà nghiên cứu của Cyble cho biết: “Chức năng chính của các tệp DLL bị loại bỏ (‘main.dll’) là hoạt động như một bộ tải và tải xuống Matanbuchus DLL thực tế từ máy chủ C&C,” các nhà nghiên cứu của Cyble cho biết, ngoài việc thiết lập tính bền bỉ bằng nhiệm vụ đã lên lịch.

Về phần mình, trọng tải Matanbuchus thiết lập kết nối với cơ sở hạ tầng C&C để truy xuất tải trọng ở giai đoạn tiếp theo, trong trường hợp này là hai Báo hiệu Cobalt Strike cho hoạt động tiếp theo.

Sự phát triển này diễn ra khi các nhà nghiên cứu từ Fortinet FortiGuard Labs tiết lộ một biến thể mới của trình tải phần mềm độc hại có tên là IceXLoader được lập trình trong Nim và đang được rao bán trên các diễn đàn ngầm.

Với khả năng trốn tránh phần mềm chống vi-rút, các cuộc liên quan đến IceXLoader đã mở đường cho DarkCrystal RAT (hay còn gọi là DCRat) và các công cụ khai thác tiền điện tử giả mạo trên các máy chủ Windows bị tấn công.

Xem tiếp:   Một phần mềm độc hại phá hoại mới nhắm mục tiêu vào Chính phủ và các tổ chức kinh doanh Ukraina

Các nhà nghiên cứu cho biết: “Nhu cầu trốn tránh các sản phẩm bảo mật này có thể là lý do các nhà phát triển chọn chuyển từ AutoIt sang Nim cho phiên bản 3 của IceXLoader. “Vì Nim là một ngôn ngữ tương đối phổ biến cho các ứng dụng được viết, các tác nhân đe dọa lợi dụng việc thiếu tập trung vào lĩnh vực này về mặt phân tích và phát hiện.”

.

Related Posts

Check Also

Nhà phát triển tiền mặt Tornado bị bắt sau lệnh trừng phạt của Hoa Kỳ Máy trộn tiền điện tử

Các nhà chức trách Hà Lan hôm thứ Sáu đã thông báo về việc bắt …