SOC Prime Bias: Hoch

03 Dez. 2025 19:02
newspaper icon Analyse von Rhadamanthy

Matanbuchus 3.0: Technische Analyse

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Matanbuchus 3.0: Technische Analyse
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Matanbuchus ist ein bösartiger Downloader auf C++-Basis, der seit 2020 als Malware‑as‑a‑Service (MaaS) angeboten wird. Version 3.0, die im Juli 2025 beobachtet wurde, führt Protobuf-basierte Serialisierung, ChaCha20-Verschlüsselung und mehrere neue Anti-Analyse-Techniken ein. Die Malware besteht aus einem Downloader-Modul, das ein primäres Backdoor-Modul von seinem C2-Server abruft und dann die Persistenz, Befehlsausführung und Lieferung von Folgelasten verwaltet. Es wurde mit Ransomware-Vorfällen und Kampagnen in Verbindung gebracht, die den Rhadamanthys-Informationsdiebstahl und den NetSupport RAT verbreiten.

Analyse von Matanbuchus 3.0

Die Analyse beschreibt zwei Komponenten, einen Downloader und ein Hauptmodul, und geht die anfängliche Infektionskette durch, die QuickAssist verwendet, ein bösartiges MSI gehostet auf gpa-cro.com, und eine Side-Loaded-DLL, die als HRUpdate.exeauftritt. Der Downloader kontaktiert mechiraz.com , um das Hauptmodul zu erhalten, das sich dann beim C2 registriert, eine geplante Aufgabe namens Update Tracker Taskerstellt und ein pro-Host-Mutex setzt. C2-Datenverkehr fließt über HTTPS unter Verwendung verschlüsselter Protobuf-Nachrichten, die mit ChaCha20-Schlüsseln und -Nonces gesichert sind.

Abschwächung

Defensivmaßnahmen umfassen das Blockieren der bösartigen Domains gpa-cro.com und mechiraz.com am Netzwerk-Rand, die Überwachung der Erstellung der Update Tracker Task und des damit verbundenen HKCU-Registrierungsschlüssels sowie die Durchsetzung des Applikations-Whitelisting, um die Ausführung nicht vertrauenswürdiger MSI-Pakete und Side-Loaded-DLLs zu verhindern. Sicherheitsteams sollten charakteristischen ChaCha20-verschlüsselten Datenverkehr erkennen und die Nutzung von Windows-Dienstprogrammen wie msiexec für nicht signierte oder unbestätigte Dateien einschränken.

Antwort

Wenn Matanbuchus-Aktivität erkannt wird, isolieren Sie das betroffene System, erfassen Sie die definierte geplante Aufgabe, den Registrierungseintrag, den Mutex-Wert und alle abgerufenen Nutzlasten und entfernen Sie die bösartigen Binärdateien und Aufgaben. Führen Sie umfassende Endpunktforensik durch, um Nutzlasten der zweiten Stufe und alle exfiltrierten Daten aufzudecken, gefolgt von der Zurücksetzung exponierter Anmeldedaten und der Behebung betroffener Active Directory-Konten.

mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes – Techniques, Tools, Processes init_remote_access[„<b>Technik</b> – <b>T1219 Fernzugriffswerkzeuge</b><br />Nutze QuickAssist zur Fernunterstützung für Zugriff.“] tool_quickassist[„<b>Werkzeug</b> – <b>Name</b>: QuickAssist<br /><b>Beschreibung</b>: Windows-Remotehilfe-Dienstprogramm“] execution_user_exec[„<b>Technik</b> – <b>T1204.002 Benutzer-Ausführung</b><br />Bösartige MSI über Kommandozeile heruntergeladen“] process_msi[„<b>Prozess</b> – <b>Name</b>: Malicious.msi<br /><b>Beschreibung</b>: Ausgelieferte Nutzlast“] tool_cmdshell[„<b>Werkzeug</b> – <b>Name</b>: Windows-Befehls-Shell<br /><b>Technik-ID</b>: T1059.003“] process_hrupdate[„<b>Prozess</b> – <b>Name</b>: HRUpdate.exe<br /><b>Beschreibung</b>: Von cmd ausgeführt“] tool_msiexec[„<b>Werkzeug</b> – <b>Name</b>: Msiexec<br /><b>Technik-ID</b>: T1218.007<br />Verwendet für DLL-Seitenladen“] process_maliciousdll[„<b>Prozess</b> – <b>Name</b>: Bösartige DLL<br /><b>Beschreibung</b>: Geladen über msiexec“] persistence_schtask[„<b>Technik</b> – <b>T1053 Geplante Aufgabe/Job</b><br />Erstellt Aufgabe für msiexec beim Neustart“] discovery_systeminfo[„<b>Technik</b> – <b>T1082 Systeminformationsentdeckung</b><br />Sammelt Hostname, OS, etc.“] discovery_identity[„<b>Technik</b> – <b>T1589 Opfer-Identität Informationen sammeln</b><br />Sammelt Benutzer- und Domain-Details“] discovery_network[„<b>Technik</b> – <b>T1590.001 Domain-Eigenschaften</b><br />Sammelt Domain- und Sicherheitsproduktinformationen“] defense_obfuscation[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br />Dynamische API-Auflösung und Junk-Code“] defense_deobfuscate[„<b>Technik</b> – <b>T1140 Dateien oder Informationen entschlüsseln/decodieren</b>“] defense_virustime[„<b>Technik</b> – <b>T1497.003 Zeitbasierte Umgehung</b>“] defense_useractivity[„<b>Technik</b> – <b>T1497.002 Überprüfung basierend auf Benutzeraktivität</b>“] c2_webservice[„<b>Technik</b> – <b>T1102.002 Web-Dienst Bidirektionale Kommunikation</b><br />HTTPS mit verschlüsseltem Protobuf“] c2_appprotocol[„<b>Technik</b> – <b>T1071 Anwendungsprotokoll</b><br />Verwendet HTTP/HTTPS“] payload_powershell[„<b>Technik</b> – <b>T1059.001 PowerShell</b><br />Führt heruntergeladene Nutzlasten aus“] payload_cmdshell[„<b>Technik</b> – <b>T1059.003 Windows-Befehls-Shell</b><br />Führt EXE DLL MSI aus“] process_injection[„<b>Technik</b> – <b>T1055.001 DLL-Injektion</b><br />Injektionen über benannte Pipes“] tool_wmi[„<b>Werkzeug</b> – <b>Name</b>: Windows Remote Management (WMI)<br /><b>Technik-ID</b>: T1021.006“] %% Class Assignments class init_remote_access action class tool_quickassist tool class execution_user_exec action class process_msi process class tool_cmdshell tool class process_hrupdate process class tool_msiexec tool class process_maliciousdll process class persistence_schtask action class discovery_systeminfo action class discovery_identity action class discovery_network action class defense_obfuscation action class defense_deobfuscate action class defense_virustime action class defense_useractivity action class c2_webservice action class c2_appprotocol action class payload_powershell action class payload_cmdshell action class process_injection action class tool_wmi tool %% Connections – Angriffskette init_remote_access u002du002d>|verwendet| tool_quickassist tool_quickassist u002du002d>|ermöglicht| execution_user_exec execution_user_exec u002du002d>|lädt herunter| process_msi process_msi u002du002d>|ausgeführt von| tool_cmdshell tool_cmdshell u002du002d>|führt| process_hrupdate process_hrupdate u002du002d>|startet| tool_msiexec tool_msiexec u002du002d>|lädt| process_maliciousdll process_maliciousdll u002du002d>|erstellt| persistence_schtask persistence_schtask u002du002d>|ausgeführt beim Neustart| tool_msiexec persistence_schtask u002du002d>|führt aus| process_maliciousdll init_remote_access u002du002d>|führt zu| discovery_systeminfo init_remote_access u002du002d>|führt zu| discovery_identity init_remote_access u002du002d>|führt zu| discovery_network process_maliciousdll u002du002d>|verwendet| defense_obfuscation process_maliciousdll u002du002d>|nutzt| defense_deobfuscate process_maliciousdll u002du002d>|setzt ein| defense_virustime process_maliciousdll u002du002d>|setzt ein| defense_useractivity process_maliciousdll u002du002d>|kommuniziert mit| c2_webservice c2_webservice u002du002d>|verwendet| c2_appprotocol c2_webservice u002du002d>|liefert| payload_powershell c2_webservice u002du002d>|liefert| payload_cmdshell payload_powershell u002du002d>|führt aus| process_injection payload_cmdshell u002du002d>|führt aus| process_injection process_injection u002du002d>|verwendet| tool_wmi

Angriffsfluss

Simulation Execution

Voraussetzung: Die Telemetrie- & Baseline-Vorflugprüfung muss bestanden haben.

Angriffsnarrativ & Befehle

  1. Benutzer-Ausführung (T1204) – Der Angreifer überredet den Benutzer, QuickAssist.
  2. DLL-Seitenladen (T1574.001) – Während QuickAssist läuft, kopiert der Angreifer eine bösartige DLL (malicious.dll) in dasselbe Verzeichnis wie HRUpdate.exe und startet dann HRUpdate.exe, sodass die bösartige DLL geladen wird.
  3. Geplante Aufgaben-Erstellung (T1546.010) – Der Angreifer verwendet msiexec.exe -z kombiniert mit einem Shell-Befehl (powershell -EncodedCommand …) um eine versteckte geplante Aufgabe zu erstellen, die die bösartige Nutzlast ausführt.
  4. Signierte Proxy-Ausführung (T1218.002 / T1218.007) – Die Nutzlast wird ausgeführt über msiexec und optional über WMI (wmic process call create …) um sich mit legitimen Administrator-Aktionen zu vermischen.

Regression Test Script

# -------------------------------------------------
# Simulation Script – Matanbuchus-Aktivität (TTPs)
# -------------------------------------------------
# 1. Schädliche DLL neben HRUpdate.exe bereitstellen
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force

# 2. Starten Sie QuickAssist (legitim)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden

# 3. Führen Sie HRUpdate.exe aus, um das Side-Loading der DLL zu verursachen
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait

# 4. Erstellen Sie eine geplante Aufgabe mit msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd  = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
            ([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden

# 5. (Optional) Führen Sie die gleiche Nutzlast über WMI aus, um T1218.007 abzudecken
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Ende der Simulation
# -------------------------------------------------

Bereinigungsbefehle

# Beenden Sie alle verbleibenden QuickAssist- oder HRUpdate-Prozesse
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen Sie die bösartige DLL
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue

# Löschen Sie die geplante Aufgabe
schtasks /Delete /TN "SysUpdate" /F

# Entfernen Sie das temporäre msiexec-Protokoll
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten