Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакеры рассылают спам с загрузчиком Matanbuchus, заражающим системы Cobalt Strike

20/06/22

hack15-Jun-20-2022-10-57-20-02-AMИБ-эксперты обнаружили новую спам-кампанию, в ходе которой злоумышленники заражают системы жертв вредоносным ПО Matanbuchus, которое в свою очередь загружает на скомпрометированные машины маячки Cobalt Strike.

Cobalt Strike – это набор инструментов для тестирования на проникновение, которым часто злоупотребляют киберпреступники для бокового перемещения по скомпрометированным сетям и загрузки дополнительных файлов, напоминает Securitylab.

Matanbuchus распространяется по бизнес-модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS) с февраля 2021 года. Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks проанализировали вредонос в июне 2021 года и создали карту обширных частей его операционной инфраструктуры.

Исследователю безопасности Брэду Дункану (Brad Duncan) удалось заполучить образец Matanbuchus и изучить его в лабораторных условиях. Вредонос оснащен такими функциями, как запуск команд PowerShell, загрузка DLL-библиотек и обеспечение постоянства на системе путем добавления запланированных задач.

В ходе спам-кампании, активной и в настоящее время, злоумышленники подделывают вредоносные электронные письма под ответ на якобы отправленное жертвой письмо, добавляя в строку темы «Re:».

В вредоносном письме содержится ZIP-архив с HTML-файлом, генерирующим второй ZIP-архив. Этот второй архив извлекает MSI-пакет, подписанный действительным цифровым сертификатом, выданным компании Westeast Tech Consulting удостоверяющим центром DigiCert.

Запуск MSI-установщика инициирует обновление каталога шрифтов для Adobe Acrobat, которое завершается сообщением об ошибке с целью отвлечь внимание жертвы от происходящего на фоне. А на фоне в две разные локации загружаются две DLL-библиотеки Matanbuchus (main.dll), создается запланированная задача для сохранения постоянства на системе после перезагрузок и устанавливается соединение с C&C-сервером.

В конечном итоге Matanbuchus загружает с C&C-сервера Cobalt Strike, обеспечивая хакерам возможности для дальнейших атак.

Темы:УгрозыCobalt Strikeспам
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...