Xu Hướng & Thị Trường

Cảnh báo chiến dịch phát tán phần mềm độc hại Matanbuchus nhằm triển khai Cobalt Strike

Posted on by KAYOTEC
Cobalt Strike
29
Th6

Gần đây, các nhà nghiên cứu phát hiện ra một phần mềm độc hại dưới dạng dịch vụ (Maas) có tên Matanbuchus đang lây lan nhiều thiết bị thông qua các chiến dịch lừa đảo. Mục đích cuối cùng là triển khai công cụ Cobalt Strike lên các máy bị nhiễm.

Matanbuchus giống các trình tải phần mềm độc hại khác như BazarLoader, Bumblebee và Colibri, được thiết kế để tải và thực thi các mã độc từ máy chủ C2 trên các hệ thống bị nhiễm mà không bị phát hiện.

Phần mềm độc hại xuất hiện từ tháng 2 năm 2021 trên nhiều diễn đàn nói tiếng Nga với mức giá cho thuê 2.500 đô la. Matanbuchus có khả năng khởi chạy các tệp .EXE và .DLL trong bộ nhớ và chạy các lệnh PowerShell tùy ý.

Theo phát hiện mới nhất của công ty thu thập thông tin tình báo Cyble, phần mềm độc hại đã thay đổi các chuỗi lây nhiễm thông qua các trình tải mới và có thể do nhóm BelialDemon điều hành.

Các nhà nghiên cứu Jeff White và Kyle Wilhoit của Unit 42 cho biết trong một báo cáo vào tháng 6 năm 2021: “Trước đây BelialDemon đã tham gia phát triển trình tải phần mềm độc hại. Chúng cũng đứng sau TriumphLoader, một phần mềm độc hại từng xuất hiện và được rao bán trên một số diễn đàn.”

Các email spam phân phối Matanbuchus đi kèm với tệp đính kèm ZIP có chứa tệp HTML. Khi được mở, nội dung Base64 nhúng trong tệp được giải mã và đặt tệp ZIP khác vào hệ thống.

Tệp ZIP bao gồm trình cài đặt để hiển thị thông tin báo lỗi giả mạo, đồng thời lén triển khai tệp main.dll và tải xuống thư viện cùng tên từ máy chủ (telemetrysystemcollection[.]com) từ xa như một phương án dự phòng.

Các nhà nghiên cứu của Cyble cho biết: “Tệp main.dll hoạt động như một trình tải, có chức năng tải xuống Matanbuchus DLL từ máy chủ C2, đồng thời tìm cách tồn tại lâu dài trên hệ thống thông qua các tác vụ được lập lịch.”

Matanbuchus thiết lập kết nối với cơ sở hạ tầng C2 để tải mã độc ở giai đoạn tiếp theo, trong trường hợp này là Cobalt Strike Beacons.

Gần đây, các nhà nghiên cứu từ Fortinet FortiGuard Labs cũng phát hiện một biến thể mới của trình tải phần mềm độc hại có tên là IceXLoader được lập trình bằng Nim và đang được rao bán trên các diễn đàn ngầm.

Theo Thehackernews

Bình chọn
KAYOTEC

Chuyên cung cấp phần mềm bản quyền (software license) chính hãng tại Việt Nam các thương hiệu: Norton, Kaspersky, ESET, Trend Micro, Bitdefender, Mcafee. Windows, Microsoft 365. Và hàng chục thương hiệu khác.

Vui lòng liên hệ hotline 0379768688 để được hỗ trợ, chúng tôi ngừng cho phép đặt hàng trực tuyến tại Website.
More info Accept