Cảnh báo chiến dịch phát tán phần mềm độc hại Matanbuchus nhằm triển khai Cobalt Strike

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Cảnh báo chiến dịch phát tán phần mềm độc hại Matanbuchus nhằm triển khai Cobalt Strike
Gần đây, các nhà nghiên cứu phát hiện ra một phần mềm độc hại dưới dạng dịch vụ (Maas) có tên Matanbuchus đang lây lan nhiều thiết bị thông qua các chiến dịch lừa đảo. Mục đích cuối cùng là triển khai công cụ Cobalt Strike lên các máy bị nhiễm.

hacked.png

Matanbuchus giống các trình tải phần mềm độc hại khác như BazarLoader, Bumblebee và Colibri, được thiết kế để tải và thực thi các mã độc từ máy chủ C2 trên các hệ thống bị nhiễm mà không bị phát hiện.

Phần mềm độc hại xuất hiện từ tháng 2 năm 2021 trên nhiều diễn đàn nói tiếng Nga với mức giá cho thuê 2.500 đô la. Matanbuchus có khả năng khởi chạy các tệp .EXE và .DLL trong bộ nhớ và chạy các lệnh PowerShell tùy ý.

Theo phát hiện mới nhất của công ty thu thập thông tin tình báo Cyble, phần mềm độc hại đã thay đổi các chuỗi lây nhiễm thông qua các trình tải mới và có thể do nhóm BelialDemon điều hành.

Các nhà nghiên cứu Jeff White và Kyle Wilhoit của Unit 42 cho biết trong một báo cáo vào tháng 6 năm 2021: "Trước đây BelialDemon đã tham gia phát triển trình tải phần mềm độc hại. Chúng cũng đứng sau TriumphLoader, một phần mềm độc hại từng xuất hiện và được rao bán trên một số diễn đàn."

Các email spam phân phối Matanbuchus đi kèm với tệp đính kèm ZIP có chứa tệp HTML. Khi được mở, nội dung Base64 nhúng trong tệp được giải mã và đặt tệp ZIP khác vào hệ thống.

Tệp ZIP bao gồm trình cài đặt để hiển thị thông tin báo lỗi giả mạo, đồng thời lén triển khai tệp main.dll và tải xuống thư viện cùng tên từ máy chủ (telemetrysystemcollection[.]com) từ xa như một phương án dự phòng.

Các nhà nghiên cứu của Cyble cho biết: "Tệp main.dll hoạt động như một trình tải, có chức năng tải xuống Matanbuchus DLL từ máy chủ C2, đồng thời tìm cách tồn tại lâu dài trên hệ thống thông qua các tác vụ được lập lịch."

Matanbuchus thiết lập kết nối với cơ sở hạ tầng C2 để tải mã độc ở giai đoạn tiếp theo, trong trường hợp này là Cobalt Strike Beacons.

Gần đây, các nhà nghiên cứu từ Fortinet FortiGuard Labs cũng phát hiện một biến thể mới của trình tải phần mềm độc hại có tên là IceXLoader được lập trình bằng Nim và đang được rao bán trên các diễn đàn ngầm.

Theo: thehackernews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
malware matanbuchus
Bên trên