SOC Prime Bias: Alto

03 Dez 2025 19:02
newspaper icon Análise de Rhadamanthy

Matanbuchus 3.0: Análise Técnica

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Matanbuchus 3.0: Análise Técnica
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Matanbuchus é um downloader malicioso baseado em C++ que tem sido distribuído como um serviço de Malware‑as‑a‑Service (MaaS) desde 2020. A versão 3.0, observada em julho de 2025, introduz serialização baseada em Protobuf, criptografia ChaCha20 e múltiplas novas técnicas de anti-análise. O malware é composto por um módulo de downloader que recupera um módulo de backdoor primário de seu servidor C2, em seguida, lida com persistência, execução de comandos e entrega de cargas subsequentes. Está ligado a incidentes de ransomware e campanhas de distribuição do ladrão de informações Rhadamanthys e NetSupport RAT.

Análise do Matanbuchus 3.0

A análise descreve dois componentes, um downloader e um módulo principal, e caminha através da cadeia de infecção inicial usando QuickAssist, um MSI malicioso hospedado em gpa-cro.com, e um DLL carregado na mesma pasta que finge ser HRUpdate.exe. O downloader acessa mechiraz.com para obter o módulo principal, que então se registra com o C2, cria uma tarefa agendada chamada Tarefa de Rastreamento de Atualização, e define um mutex por host. O tráfego C2 flui sobre HTTPS usando mensagens Protobuf encriptadas protegidas com chaves e nonces ChaCha20.

Mitigação

Medidas defensivas incluem bloquear os domínios maliciosos gpa-cro.com e mechiraz.com na borda da rede, monitorar a criação da Tarefa de Rastreamento de Atualização e a chave de registro HKCU associada, e aplicar listas de permissões de aplicativos para impedir que pacotes MSI não confiáveis e DLLs carregados na mesma pasta sejam executados. As equipes de segurança devem detectar o tráfego característico encriptado ChaCha20 e restringir o uso de utilitários do Windows como msiexec para arquivos não assinados ou não verificados.

Resposta

Quando a atividade de Matanbuchus é detectada, isole o sistema impactado, capture a definição da tarefa agendada, entrada de registro, valor do mutex e quaisquer cargas recuperadas, e então remova os binários e tarefas maliciosos. Realize a forense de endpoint abrangente para descobrir cargas de segunda etapa e quaisquer dados exfiltrados, seguido pela reinicialização de credenciais expostas e remediação de contas do Active Directory afetadas.

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ffff99 classDef process fill:#ff9999 classDef service fill:#ccffcc classDef command fill:#dddddd classDef malware fill:#ffb6c1 %% Initial infection via removable media node_usb_insert[“<b>Ação</b> – <b>T1674 Injeção de Entrada</b>: A vítima insere um USB contendo um atalho malicioso”] class node_usb_insert action node_lnk[“<b>Arquivo</b> – <b>Atalho Malicioso</b> (USB Drive.lnk)”] class node_lnk file node_wscript[“<b>Ferramenta</b> – <b>wscript.exe</b>: Executa VBScript”] class node_wscript tool node_vbs[“<b>Arquivo</b> – <b>VBScript</b> (x??????.vbs)”] class node_vbs file node_shortcut_mod[“<b>Ação</b> – <b>T1547.009 Modificação de Atalho</b>: LNK usado para persistência”] class node_shortcut_mod action %% Masquerading and side-loading node_masq_dir[“<b>Arquivo</b> – <b>Diretório Falso</b> C:\\Windows<space>\\System32 (espaço à direita)”] class node_masq_dir file node_printui_exe[“<b>Processo</b> – <b>printui.exe</b> (legítimo)”] class node_printui_exe process node_printui_dll[“<b>Arquivo</b> – <b>printui.dll</b> (malicioso)”] class node_printui_dll file node_dll_hijack[“<b>Ação</b> – <b>T1574.001 Sequestro do Fluxo de Execução: DLL</b>”] class node_dll_hijack action %% Defense evasion via PowerShell profile node_ps_exclusion[“<b>Comando</b> – Add-MpPreference -ExclusionPath \”C:\\Windows <space>\””] class node_ps_exclusion command node_ps_profile[“<b>Ação</b> – <b>T1546.013 Perfil do PowerShell</b>: Executa comando de exclusão”] class node_ps_profile action %% Persistence through service and scheduled task node_service_create[“<b>Ação</b> – <b>T1543.003 Criar Serviço do Windows</b>”] class node_service_create action node_service[“<b>Serviço</b> – <b>123456</b> criado sob DcomLaunch com ServiceDll”] class node_service service node_scheduled_task[“<b>Comando</b> – schtasks /create /tn \”console_zero\” /sc ONLOGON /tr \”C:\\Windows\\System32\\console_zero.exe\” /rl HIGHEST /f”] class node_scheduled_task command node_task_action[“<b>Ação</b> – <b>T1037.001 Script de Logon</b>: Executa console_zero.exe no logon do usuário”] class node_task_action action %% C2 resolution via DoH and fast flux node_doh[“<b>Ferramenta</b> – Consultas DNS-over-HTTPS para dns.google”] class node_doh tool node_fastflux[“<b>Ação</b> – <b>T1568.001 DNS Fast Flux</b> e <b>T1568.003 Cálculo de DNS</b>”] class node_fastflux action %% Resource hijacking – cryptocurrency mining node_xmrig[“<b>Malware</b> – Minerador XMRig”] class node_xmrig malware node_mining[“<b>Ação</b> – <b>T1496.001 Sequestro de Recursos</b>: Criptomineração no host comprometido”] class node_mining action %% Connections node_usb_insert –>|contém| node_lnk node_lnk –>|executa| node_wscript node_wscript –>|executa| node_vbs node_vbs –>|cria diretório mascarado| node_masq_dir node_vbs –>|copia executável legítimo| node_printui_exe node_vbs –>|substitui DLL por versão maliciosa| node_printui_dll node_printui_exe –>|carrega| node_dll_hijack node_dll_hijack –>|carrega DLL maliciosa| node_printui_dll node_printui_dll –>|aciona| node_ps_exclusion node_ps_exclusion –>|executado via| node_ps_profile node_ps_profile –>|cria| node_service_create node_service_create –>|cria| node_service node_service –>|habilita| node_scheduled_task node_scheduled_task –>|executa no logon| node_task_action node_task_action –>|obtém endereço C2 via| node_doh node_doh –>|usa| node_fastflux node_fastflux –>|fornece endereço para| node_xmrig node_xmrig –>|executa| node_mining

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-vôo de Telemetria & Base deve ter passado.

Narrativa e Comandos de Ataque

  1. Execução pelo Usuário (T1204) – O invasor convence o usuário a abrir QuickAssist.
  2. Carga Lateral de DLL (T1574.001) – Enquanto QuickAssist é executado, o invasor copia um DLL malicioso (malicious.dll) no mesmo diretório que HRUpdate.exe e então lança HRUpdate.exe, causando o carregamento do DLL malicioso.
  3. Criação de Tarefa Agendada (T1546.010) – O invasor usa msiexec.exe -z combinado com um comando de shell (powershell -EncodedCommand …) para criar uma tarefa agendada oculta que executa a carga maliciosa.
  4. Execução de Proxy de Binário Assinado (T1218.002 / T1218.007) – A carga é lançada via msiexec e opcionalmente via WMI (wmic process call create …) para camuflar com ações legítimas de administração.

Script de Teste de Regressão

# -------------------------------------------------
# Script de Simulação – Atividade do Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Implantar DLL malicioso ao lado de HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force

# 2. Lançar QuickAssist (legítimo)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden

# 3. Executar HRUpdate.exe para acionar a carga lateral de DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait

# 4. Criar uma tarefa agendada usando msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd  = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
            ([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden

# 5. (Opcional) Executar a mesma carga útil via WMI para cobrir T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Fim da Simulação
# -------------------------------------------------

Comandos de Limpeza

# Terminar quaisquer processos QuickAssist ou HRUpdate remanescentes
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

# Remover o DLL malicioso
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue

# Excluir a tarefa agendada
schtasks /Delete /TN "SysUpdate" /F

# Remover log temporário msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente