20/06/22
ИБ-эксперты обнаружили новую спам-кампанию, в ходе которой злоумышленники заражают системы жертв вредоносным ПО Matanbuchus, которое в свою очередь загружает на скомпрометированные машины маячки Cobalt Strike.
Cobalt Strike – это набор инструментов для тестирования на проникновение, которым часто злоупотребляют киберпреступники для бокового перемещения по скомпрометированным сетям и загрузки дополнительных файлов, напоминает Securitylab.
Matanbuchus распространяется по бизнес-модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS) с февраля 2021 года. Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks проанализировали вредонос в июне 2021 года и создали карту обширных частей его операционной инфраструктуры.
Исследователю безопасности Брэду Дункану (Brad Duncan) удалось заполучить образец Matanbuchus и изучить его в лабораторных условиях. Вредонос оснащен такими функциями, как запуск команд PowerShell, загрузка DLL-библиотек и обеспечение постоянства на системе путем добавления запланированных задач.
В ходе спам-кампании, активной и в настоящее время, злоумышленники подделывают вредоносные электронные письма под ответ на якобы отправленное жертвой письмо, добавляя в строку темы «Re:».
В вредоносном письме содержится ZIP-архив с HTML-файлом, генерирующим второй ZIP-архив. Этот второй архив извлекает MSI-пакет, подписанный действительным цифровым сертификатом, выданным компании Westeast Tech Consulting удостоверяющим центром DigiCert.
Запуск MSI-установщика инициирует обновление каталога шрифтов для Adobe Acrobat, которое завершается сообщением об ошибке с целью отвлечь внимание жертвы от происходящего на фоне. А на фоне в две разные локации загружаются две DLL-библиотеки Matanbuchus (main.dll), создается запланированная задача для сохранения постоянства на системе после перезагрузок и устанавливается соединение с C&C-сервером.
В конечном итоге Matanbuchus загружает с C&C-сервера Cobalt Strike, обеспечивая хакерам возможности для дальнейших атак.
