Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Хакеры рассылают спам с загрузчиком Matanbuchus, заражающим системы Cobalt Strike

20/06/22

hack15-Jun-20-2022-10-57-20-02-AMИБ-эксперты обнаружили новую спам-кампанию, в ходе которой злоумышленники заражают системы жертв вредоносным ПО Matanbuchus, которое в свою очередь загружает на скомпрометированные машины маячки Cobalt Strike.

Cobalt Strike – это набор инструментов для тестирования на проникновение, которым часто злоупотребляют киберпреступники для бокового перемещения по скомпрометированным сетям и загрузки дополнительных файлов, напоминает Securitylab.

Matanbuchus распространяется по бизнес-модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS) с февраля 2021 года. Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks проанализировали вредонос в июне 2021 года и создали карту обширных частей его операционной инфраструктуры.

Исследователю безопасности Брэду Дункану (Brad Duncan) удалось заполучить образец Matanbuchus и изучить его в лабораторных условиях. Вредонос оснащен такими функциями, как запуск команд PowerShell, загрузка DLL-библиотек и обеспечение постоянства на системе путем добавления запланированных задач.

В ходе спам-кампании, активной и в настоящее время, злоумышленники подделывают вредоносные электронные письма под ответ на якобы отправленное жертвой письмо, добавляя в строку темы «Re:».

В вредоносном письме содержится ZIP-архив с HTML-файлом, генерирующим второй ZIP-архив. Этот второй архив извлекает MSI-пакет, подписанный действительным цифровым сертификатом, выданным компании Westeast Tech Consulting удостоверяющим центром DigiCert.

Запуск MSI-установщика инициирует обновление каталога шрифтов для Adobe Acrobat, которое завершается сообщением об ошибке с целью отвлечь внимание жертвы от происходящего на фоне. А на фоне в две разные локации загружаются две DLL-библиотеки Matanbuchus (main.dll), создается запланированная задача для сохранения постоянства на системе после перезагрузок и устанавливается соединение с C&C-сервером.

В конечном итоге Matanbuchus загружает с C&C-сервера Cobalt Strike, обеспечивая хакерам возможности для дальнейших атак.

Темы:УгрозыCobalt Strikeспам
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...