Matanbuchus 3.0: Analisi Tecnica

Riepilogo

Matanbuchus è un downloader malevolo basato su C++ che è stato distribuito come offerta Malware‑as‑a‑Service (MaaS) dal 2020. La versione 3.0, osservata nel luglio 2025, introduce la serializzazione basata su Protobuf, la crittografia ChaCha20, e molteplici nuove tecniche anti-analisi. Il malware è composto da un modulo downloader che recupera un modulo backdoor primario dal suo server C2, quindi gestisce la persistenza, l’esecuzione dei comandi e la consegna dei payload successivi. È stato collegato a incidenti ransomware e campagne che distribuiscono lo stealer di informazioni Rhadamanthys e NetSupport RAT.

Analisi di Matanbuchus 3.0

L’analisi descrive due componenti, un downloader e un modulo principale, e segue la catena di infezione iniziale utilizzando QuickAssist, un MSI malevolo ospitato su gpa-cro.com, e una DLL caricata a lato mascherata come HRUpdate.exe. Il downloader si connette a mechiraz.com per ottenere il modulo principale, che poi si registra con il C2, crea un’attività pianificata chiamata Update Tracker Task, e imposta un mutex per host. Il traffico C2 scorre su HTTPS utilizzando messaggi Protobuf criptati protetti con chiavi e nonce ChaCha20.

Mitigazione

Le misure difensive includono il blocco dei domini malevoli gpa-cro.com e mechiraz.com al confine di rete, il monitoraggio per la creazione dell’Update Tracker Task e della chiave di registro associata HKCU, e l’applicazione della lista degli applicazioni consentite per impedire l’esecuzione di pacchetti MSI non affidabili e DLL caricate a lato. I team di sicurezza dovrebbero rilevare il traffico caratteristico criptato con ChaCha20 e limitare l’uso di utility di Windows come msiexec per file non firmati o non verificati.

Risposta

Quando viene rilevata attività di Matanbuchus, isolare il sistema impattato, catturare la definizione del task pianificato, la voce di registro, il valore del mutex e qualsiasi payload recuperato, quindi rimuovere i binari e i task malevoli. Eseguire analisi forense complete sull’endpoint per scoprire i payload di seconda fase e qualsiasi dato esfiltrato, seguito dalla reimpostazione delle credenziali esposte e dalla remediation degli account di Active Directory affetti.

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere stato passato.

Narrativa dell’Attacco e Comandi

1. Esecuzione Utente (T1204)– L’attaccante convince l’utente ad aprire QuickAssist.
2. Caricamento DLL a Lato (T1574.001)– Mentre QuickAssist è in esecuzione, l’attaccante copia una DLL malevola (malicious.dll) nella stessa directory di HRUpdate.exe e poi avvia HRUpdate.exe, causando il caricamento della DLL malevola.
3. Creazione di Task Pianificato (T1546.010)– L’attaccante utilizza msiexec.exe -z combinato con un comando shell (powershell -EncodedCommand …) per creare un task pianificato nascosto che esegue il payload malevolo.
4. Esecuzione Proxy di Binary Firmati (T1218.002 / T1218.007)– Il payload viene avviato tramite msiexec e opzionalmente tramite WMI (wmic process call create …) per mescolarsi con azioni amministrative legittime.

Script di Test di Regressione

# -------------------------------------------------
# Script di Simulazione – Attività di Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Distribuire DLL malevola accanto a HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force

# 2. Avviare QuickAssist (legittimo)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden

# 3. Eseguire HRUpdate.exe per innescare il caricamento della DLL a lato
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait

# 4. Creare un task pianificato utilizzando msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd  = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
            ([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden

# 5. (Opzionale) Eseguire lo stesso payload tramite WMI per coprire T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Fine della Simulazione
# -------------------------------------------------

Comandi di Pulizia

# Terminare eventuali processi residui di QuickAssist o HRUpdate
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

# Rimuovere la DLL malevola
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue

# Eliminare il task pianificato
schtasks /Delete /TN "SysUpdate" /F

# Rimuovere il log temporaneo di msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue