Deep Web
Εκμετάλλευση του Microsoft Teams για διάδοση του Matanbuchus 3.0
Η νέα έκδοση Matanbuchus 3.0 εκμεταλλεύεται το Microsoft Teams για στοχευμένες επιθέσεις με προηγμένες τεχνικές απόκρυψης.
Η νέα απειλή στον κυβερνοχώρο
Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει μια νέα παραλλαγή ενός γνωστού φορτωτή κακόβουλου λογισμικού, το Matanbuchus, που ενσωματώνει σημαντικές λειτουργίες για να ενισχύσει την αορατότητά του και να αποφύγει την ανίχνευση. Το Matanbuchus είναι μια υπηρεσία κακόβουλου λογισμικού ως υπηρεσία (MaaS) που μπορεί να λειτουργήσει ως αγωγός για επόμενα στάδια επιθέσεων, περιλαμβάνοντας beacons του Cobalt Strike και ransomware.
Η εξέλιξη του Matanbuchus
Αρχικά διαφημίστηκε τον Φεβρουάριο του 2021 σε ρωσόφωνα φόρουμ κυβερνοεγκλήματος με τιμή ενοικίασης 2.500 δολαρίων. Το κακόβουλο λογισμικό χρησιμοποιήθηκε ως μέρος δελεασμάτων τύπου ClickFix για να εξαπατήσει χρήστες που επισκέπτονται νόμιμες αλλά παραβιασμένες ιστοσελίδες. Το Matanbuchus ξεχωρίζει ανάμεσα στους φορτωτές επειδή δεν διαδίδεται συνήθως μέσω spam emails ή drive-by downloads. Αντίθετα, συχνά αναπτύσσεται μέσω κοινωνικής μηχανικής, όπου οι επιτιθέμενοι εξαπατούν τους χρήστες άμεσα.
Οι νέες δυνατότητες του Matanbuchus 3.0
Η τελευταία έκδοση του φορτωτή, που παρακολουθείται ως Matanbuchus 3.0, ενσωματώνει αρκετές νέες δυνατότητες, όπως βελτιωμένες τεχνικές πρωτοκόλλου επικοινωνίας, δυνατότητες μνήμης, ενισχυμένες μεθόδους απόκρυψης, υποστήριξη CMD και PowerShell reverse shell, και τη δυνατότητα εκτέλεσης payloads DLL, EXE και shellcode επόμενου σταδίου, σύμφωνα με την εταιρεία Morphisec.
Κοινωνική μηχανική και Microsoft Teams
Η εταιρεία κυβερνοασφάλειας παρατήρησε το κακόβουλο λογισμικό σε ένα περιστατικό νωρίτερα αυτόν τον μήνα, όπου μια ανώνυμη εταιρεία στοχοποιήθηκε μέσω εξωτερικών κλήσεων στο Microsoft Teams που προσποιούνταν ότι ήταν το τμήμα υποστήριξης IT. Οι υπάλληλοι εξαπατήθηκαν να εκκινήσουν το Quick Assist για απομακρυσμένη πρόσβαση και στη συνέχεια να εκτελέσουν ένα PowerShell script που ανέπτυξε το Matanbuchus.
Η στρατηγική πίσω από τις επιθέσεις
Αξίζει να σημειωθεί ότι παρόμοιες τεχνικές κοινωνικής μηχανικής έχουν χρησιμοποιηθεί από απειλητικούς παράγοντες που συνδέονται με τη λειτουργία ransomware Black Basta. Ο CTO της Morphisec, Michael Gorelik, ανέφερε ότι τα θύματα στοχοποιούνται προσεκτικά και πείθονται να εκτελέσουν ένα script που ενεργοποιεί τη λήψη ενός αρχείου. Αυτό το αρχείο περιέχει έναν μετονομασμένο ενημερωτή του Notepad++ (GUP), ένα ελαφρώς τροποποιημένο αρχείο XML διαμόρφωσης και ένα κακόβουλο DLL side-loaded που αντιπροσωπεύει τον φορτωτή Matanbuchus.
Η εμπορική διάθεση του Matanbuchus 3.0
Το Matanbuchus 3.0 έχει διαφημιστεί δημόσια για μηνιαία τιμή 10.000 δολαρίων για την έκδοση HTTPS και 15.000 δολαρίων για την έκδοση DNS. Όταν εκκινείται, το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος και εξετάζει τη λίστα των τρεχουσών διεργασιών για να καθορίσει την παρουσία εργαλείων ασφάλειας. Ελέγχει επίσης την κατάσταση της διεργασίας του για να δει αν εκτελείται με διοικητικά δικαιώματα.
Η τεχνολογία πίσω από την επίθεση
Στη συνέχεια, στέλνει τις συλλεγμένες λεπτομέρειες σε έναν server εντολών και ελέγχου (C2) για να λάβει επιπλέον payloads με τη μορφή MSI installers και φορητών εκτελέσιμων αρχείων. Η διατήρηση στο σύστημα επιτυγχάνεται με τη δημιουργία ενός προγραμματισμένου task. Ο Gorelik εξήγησε ότι οι προγραμματιστές του Matanbuchus έχουν υλοποιήσει προηγμένες τεχνικές για τον προγραμματισμό ενός task μέσω της χρήσης COM και έγχυσης shellcode.
Η απειλή του Matanbuchus 3.0
Το Matanbuchus 3.0 έχει εξελιχθεί σε μια πολύπλοκη απειλή, εισάγοντας προηγμένες τεχνικές όπως βελτιωμένα πρωτόκολλα επικοινωνίας, stealth στη μνήμη, ενισχυμένη απόκρυψη και υποστήριξη για WQL queries, CMD και PowerShell reverse shells. Η ικανότητα του φορτωτή να εκτελεί εντολές regsvr32, rundll32, msiexec ή process hollowing υπογραμμίζει την ευελιξία του, καθιστώντας το σημαντικό κίνδυνο για παραβιασμένα συστήματα.
Η στρατηγική των επιθέσεων σε εργαλεία συνεργασίας
Καθώς το κακόβουλο λογισμικό ως υπηρεσία εξελίσσεται, το Matanbuchus 3.0 εντάσσεται σε μια ευρύτερη τάση φορτωτών που βασίζονται στην αορατότητα, χρησιμοποιώντας LOLBins (living-off-the-land binaries), hijacking αντικειμένων COM και PowerShell stagers για να παραμένουν απαρατήρητοι. Οι ερευνητές απειλών χαρτογραφούν όλο και περισσότερο αυτούς τους φορτωτές ως μέρος στρατηγικών διαχείρισης επιφάνειας επίθεσης και τους συνδέουν με την κατάχρηση εργαλείων συνεργασίας επιχειρήσεων όπως το Microsoft Teams και το Zoom.
