精英级"Matanbuchus"加载器升级勒索软件感染

网络攻击者正在使用主动鱼叉式网络钓鱼和升级的恶意软件即服务（MaaS）加载器来推动高价值勒索软件感染。

“Matanbuchus"是一款已有4年历史的豪华恶意软件加载器，在暗网上以订阅模式出售。其最新的3.0版本已从头重写，据其开发者称，包含一系列新功能，“考虑了即使是最挑剔客户的愿望”。这些功能包括新的规避检测手段、建立持久性以及识别目标系统中安全工具的方法。

最终，Matanbuchus的任务是通过获取系统信息、帮助绕过安全软件等，促进次级有效载荷的下载和执行。这些次级有效载荷往往是勒索软件。

在追溯到2024年9月的一次活动中，Morphisec的研究人员观察到一个威胁行为者使用IT帮助台骗局感染受害者，最终目标是部署勒索软件。受害者包括美国及欧洲（英国、德国和捷克共和国）的房地产、金融以及可能其他类型的公司。

恶意软件加载器中的劳斯莱斯

2025年7月，一名黑客冒充雇主IT团队代表，致电某组织的员工。通过Microsoft Teams通话，黑客说服至少一名员工激活Quick Assist，这是一个基于远程桌面协议（RDP）的Windows功能，允许远程用户访问某人的机器进行技术故障排除。员工还被说服执行一个脚本，触发下载一个存档，从而旁加载Matanbuchus。

Morphisec首席技术官Michael Gorelik解释说：“使用主动、涉及的网络钓鱼（例如，冒充IT帮助台的Microsoft Teams呼叫）与Matanbuchus的高成本和针对性性质一致。“换句话说，将Matanbuchus整合到低努力或中等网络活动中没有意义。

中型恶意软件加载器每月可能运行约1000至3000美元。同时，通过HTTPS连接到命令与控制（C2）的Matanbuchus基础版本每月费用为10,000美元。使用域名系统（DNS）查询操作的版本每月费用为15,000美元。

Gorelik说：“这种溢价反映了其先进能力和有限的订阅者基础，表明其专注于高价值、针对性攻击而非大规模活动。这表明网络犯罪市场重视Matanbuchus的复杂性和对防御良好目标的有效性。”

Matanbuchus 3.0特性

Gorelik估计，可能使用DNS进行C2的更昂贵版本的Matanbuchus 3.0更隐蔽、更有效，因为"DNS更难在不中断组织运营的情况下阻止，因为它始终处于活动状态，并且可以在应用阻止之前解析域。它也更适合较小的数据传输（例如命令）而非交付完整的可执行文件。”

然而，两个版本的恶意软件都通过冒充Skype桌面应用程序，用正常网络活动掩盖其C2流量。它们使用迂回方法创建计划任务，允许更隐蔽的持久性。它们在内存中执行许多隐蔽功能，并允许通过命令提示符、Windows管理规范查询语言（WQL）查询和PowerShell反向shell执行命令。

最关键的是，在收集一些基本系统信息后，Matanbuchus检查是否存在来自Microsoft、CrowdStrike、SentinelOne、Sophos、Trellix、Cortex、BitDefender、ESET和Symantec的品牌端点检测和响应（EDR）以及扩展检测和响应（XDR）产品。Gorelik警告说：“这种侦察使攻击者能够定制后续攻击阶段，以规避或禁用特定安全控制，显著提高恶意软件的有效性。”

Gorelik补充说：“额外能力，如直接系统调用执行（通过类似Heaven’s Gate的技术绕过钩子）和用于签名规避的动态混淆，进一步增强其绕过领先EDR并保持隐蔽的能力，使其成为对抗复杂防御的强大威胁。”