Matanbuchus-Malware
Die Matanbuchus-Malware ist ein bedrohlicher Loader, der in einem Malware-as-a-Service-Schema (MaaS) in unterirdischen Hackerforen und Marktplätzen angeboten wird. Der Schöpfer des Matanbuchus ist ein Bedrohungsakteur, der unter dem Namen BelialDemon agiert. Laut dem Verkaufsgespräch müssten potenzielle Kunden einen anfänglichen Mietpreis von 2500 US-Dollar zahlen, um Zugang zu der Bedrohung zu erhalten. Die als Loader bekannte Malware-Teilmenge sind typischerweise Bedrohungen, die in den frühen Phasen der Angriffskette geliefert werden und dafür verantwortlich sind, Nutzlasten der nächsten Stufe auf den kompromittierten Systemen abzurufen und dann auszuführen. Im Allgemeinen hält Matanbuchus an seiner Rolle fest. Seine wichtigsten schändlichen Fähigkeiten sind das Starten von .exe- und .dll-Dateien im Speicher, das Ausführen von PowerShell-Befehlen, die Verwendung von schtasks.exe zum Manipulieren von Aufgabenplänen, sowie die Fähigkeit, eigenständige ausführbare Dateien zu erzwingen, die eine bestimmte DLL laden.
Erster Angriffsvektor
Die infosec-Forscher der Unit 42 von Palo Alto Networks, die Matanbuchus entdeckten, konnten auch die Mittel ermitteln, mit denen Hacker die Bedrohung verbreiten. Der anfängliche Vektor für die Angriffe ist ein verlockendes Microsoft Excel-Dokument, das beschädigte Makros enthält. Bedrohungsakteure haben einen anhaltenden Trend gezeigt, die üblichen waffenfähigen Microsoft Word-Dokumente hinter sich zu lassen und zu Excel-Dateien zu wechseln. Die Erklärung ist ganz einfach – die integrierten Eigenschaften von Excel ermöglichen es den Bedrohungsakteuren, ihren beschädigten Code in den Tabellenzellen des Dokuments zu verteilen, wodurch ein gewisses Maß an Verschleierung erreicht wird und die Analyse und Erkennung erheblich erschwert werden. Wenn der Benutzer die Excel-Datei ausführt und ihre Makros aktiviert, ruft die kompromittierte Codierung mit der Datei eine DLL-Datei namens 'ddg.dll' von einem bestimmten Speicherort (idea-secure-login[.]com) ab. Die Datei wird dann auf dem System des Opfers als „hcRlCTg.dll“ gespeichert. Dies ist tatsächlich die DLL-Datei der Matanbuchus-Malware.
Struktur der Matanbuchus-Malwareware
Die Loader-Bedrohung besteht aus zwei DLL-Dateien - MatanbuchusDroper.dll und Matanbuchus.dll. Wie der Name schon sagt, besteht die Hauptfunktion der ersten Datei darin, die Haupt-Malware-Datei zu liefern. Darüber hinaus überprüft es jedoch auch die native Umgebung auf Sandboxes oder Debugging-Tools über GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime und QueryPerformanceCounter. Der nächste Schritt besteht darin, die primäre Matanbuchus-DLL unter dem Deckmantel einer XML-Datei namens 'AveBelial.xml' herunterzuladen. Die Bedrohung aktiviert einen Persistenzmechanismus, indem sie eine geplante Aufgabe generiert, um die neu abgelegte DLL-Datei auszuführen.
Matanbuchus versucht, seine Dateien innerhalb des nativen Systems zu mischen, indem es Annäherungen typischer Systemdateinamen verwendet. Anstelle der legitimen Shell32 oder Shell64 nennt die Bedrohung beispielsweise ihre Hauptkomponente shell96. Es sollte beachtet werden, dass die Matanbuchus.dll der anderen DLL-Datei ähnlich ist, aber die Hacker haben viel mehr Zeit damit verbracht, sie mit zusätzlichen Verschleierungs- und Kodierungstechniken auszustatten, um ihre Strings und ausführbaren Code zu maskieren.
Benutzer und Organisationen sollten die Bedrohung im Auge behalten, da sie bereits in Angriffskampagnen auf der ganzen Welt eingesetzt wird. Bisher wurde die Matanbuchus-Malware gegen mehrere verschiedene Organisationen eingesetzt, darunter eine große US-Universität und eine High School, sowie eine High-Tech-Organisation aus Belgien.
