Стежити
Резюме
Matanbuchus — це шкідливий завантажувач на базі C++, який розповсюджується як послуга з шкідливого програмного забезпечення (MaaS) з 2020 року. Версія 3.0, яка була виявлена в липні 2025 року, впроваджує серіалізацію на основі Protobuf, шифрування ChaCha20 та декілька нових методів протидії аналізу. Шкідливе програмне забезпечення складається з модуля-завантажувача, який отримує основний бекдор з C2 сервера, потім займається забезпеченням постійності, виконанням команд і доставкою наступних завантажуваних модулів. Його пов’язують з інцидентами викупного програмного забезпечення та кампаніями, що розповсюджують викрадача інформації Rhadamanthys і NetSupport RAT.
Аналіз Matanbuchus 3.0
Аналіз описує два компоненти: завантажувач і основний модуль, і зазначає початковий ланцюг інфекції за допомогою QuickAssist, шкідливий MSI, розміщений на gpa-cro.com, і підстановчий DLL, що маскується під HRUpdate.exe. Завантажувач зв’язується з mechiraz.com щоб отримати основний модуль, який потім реєструється з C2, створює заплановане завдання з назвою Update Tracker Task, і встановлює кожного хоста по окремому мьютексу. Трафік C2 проходить за допомогою HTTPS з використанням зашифрованих повідомлень Protobuf із захистом за допомогою ключів ChaCha20 і nonce.
Скорочення ризиків
Захисні заходи включають блокування шкідливих доменів gpa-cro.com і mechiraz.com на межі мережі, моніторинг створення завдання Update Tracker Task і відповідного ключа реєстру HKCU і запровадження білого списку додатків, щоб зупинити виконання неперевірених MSI-пакетів і підстановчих DLL. Командам безпеки слід виявляти характерний трафік, зашифрований ChaCha20, та обмежувати використання службових утиліт Windows, таких як msiexec, для непідписаних або неперевірених файлів.
Відповідь
Якщо виявлена активність Matanbuchus, ізолюйте уражену систему, захопіть визначення запланованого завдання, запис у реєстрі, значення мьютексу і будь-які отримані корисні навантаження, після чого видаліть шкідливі виконувані файли та завдання. Здійснюйте всебічну експертизу кінцевих точок, щоб виявити завантажувані модулі другого етапу та будь-які експільтровані дані, а потім скиньте відкриті облікові дані та відновіть уражені облікові записи Active Directory.
graph TB %% Розділ визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Вузли – Техніки, Інструменти, Процеси init_remote_access[“<b>Техніка</b> – <b>T1219 Засоби віддаленого доступу</b><br/>Використання QuickAssist для отримання початкового доступу.”] tool_quickassist[“<b>Інструмент</b> – <b>Назва</b>: QuickAssist<br/><b>Опис</b>: Утиліта віддаленої допомоги Windows”] execution_user_exec[“<b>Техніка</b> – <b>T1204.002 Виконання користувачем</b><br/>Зловмисний MSI завантажується через командний рядок”] process_msi[“<b>Процес</b> – <b>Назва</b>: Malicious.msi<br/><b>Опис</b>: Доставлений корисний навантажувач”] tool_cmdshell[“<b>Інструмент</b> – <b>Назва</b>: Командна оболонка Windows<br/><b>ID техніки</b>: T1059.003”] process_hrupdate[“<b>Процес</b> – <b>Назва</b>: HRUpdate.exe<br/><b>Опис</b>: Запущений через cmd”] tool_msiexec[“<b>Інструмент</b> – <b>Назва</b>: Msiexec<br/><b>ID техніки</b>: T1218.007<br/>Використовується для DLL sideloading”] process_maliciousdll[“<b>Процес</b> – <b>Назва</b>: Шкідлива DLL<br/><b>Опис</b>: Завантажується через msiexec”] persistence_schtask[“<b>Техніка</b> – <b>T1053 Заплановані завдання</b><br/>Створює завдання для запуску msiexec під час перезавантаження”] discovery_systeminfo[“<b>Техніка</b> – <b>T1082 Виявлення системної інформації</b><br/>Збирає ім’я хоста, ОС тощо”] discovery_identity[“<b>Техніка</b> – <b>T1589 Збір ідентифікаційних даних жертви</b><br/>Збирає дані користувача та домену”] discovery_network[“<b>Техніка</b> – <b>T1590.001 Властивості домену</b><br/>Збирає інформацію про домен і засоби захисту”] defense_obfuscation[“<b>Техніка</b> – <b>T1027 Обфусковані файли або інформація</b><br/>Динамічне визначення API та \”сміттєвий\” код”] defense_deobfuscate[“<b>Техніка</b> – <b>T1140 Деобфускація / декодування</b>”] defense_virustime[“<b>Техніка</b> – <b>T1497.003 Ухилення на основі часу</b>”] defense_useractivity[“<b>Техніка</b> – <b>T1497.002 Перевірки активності користувача</b>”] c2_webservice[“<b>Техніка</b> – <b>T1102.002 Вебсервіс: двосторонній зв’язок</b><br/>HTTPS з зашифрованим Protobuf”] c2_appprotocol[“<b>Техніка</b> – <b>T1071 Протокол прикладного рівня</b><br/>Використовує HTTP/HTTPS”] payload_powershell[“<b>Техніка</b> – <b>T1059.001 PowerShell</b><br/>Виконує завантажені корисні навантаження”] payload_cmdshell[“<b>Техніка</b> – <b>T1059.003 Командна оболонка Windows</b><br/>Виконує EXE, DLL, MSI”] process_injection[“<b>Техніка</b> – <b>T1055.001 DLL-інʼєкція</b><br/>Інʼєкція через іменовані канали”] tool_wmi[“<b>Інструмент</b> – <b>Назва</b>: Windows Remote Management (WMI)<br/><b>ID техніки</b>: T1021.006”] %% Призначення класів class init_remote_access action class tool_quickassist tool class execution_user_exec action class process_msi process class tool_cmdshell tool class process_hrupdate process class tool_msiexec tool class process_maliciousdll process class persistence_schtask action class discovery_systeminfo action class discovery_identity action class discovery_network action class defense_obfuscation action class defense_deobfuscate action class defense_virustime action class defense_useractivity action class c2_webservice action class c2_appprotocol action class payload_powershell action class payload_cmdshell action class process_injection action class tool_wmi tool %% Зв’язки – Хід атаки init_remote_access –>|використовує| tool_quickassist tool_quickassist –>|дозволяє| execution_user_exec execution_user_exec –>|завантажує| process_msi process_msi –>|виконується через| tool_cmdshell tool_cmdshell –>|запускає| process_hrupdate process_hrupdate –>|запускає| tool_msiexec tool_msiexec –>|завантажує| process_maliciousdll process_maliciousdll –>|створює| persistence_schtask persistence_schtask –>|виконує при перезавантаженні| tool_msiexec persistence_schtask –>|запускає| process_maliciousdll init_remote_access –>|призводить до| discovery_systeminfo init_remote_access –>|призводить до| discovery_identity init_remote_access –>|призводить до| discovery_network process_maliciousdll –>|застосовує| defense_obfuscation process_maliciousdll –>|використовує| defense_deobfuscate process_maliciousdll –>|застосовує| defense_virustime process_maliciousdll –>|застосовує| defense_useractivity process_maliciousdll –>|звʼязується з| c2_webservice c2_webservice –>|використовує| c2_appprotocol c2_webservice –>|доставляє| payload_powershell c2_webservice –>|доставляє| payload_cmdshell payload_powershell –>|виконує| process_injection payload_cmdshell –>|виконує| process_injection process_injection –>|використовує| tool_wmi
Потік атаки
Виявлення
Виявлення активності шкідливого програмного забезпечення Matanbuchus через виконання QuickAssist та HRUpdate.exe [Створення процесу Windows]
Переглянути
Виявлення доступу до шкідливого URL-адрес Matanbuchus [Підключення до мережі Windows]
Переглянути
IOC (HashSha256) для виявлення: технічний аналіз Matanbuchus 3.0
Переглянути
виконання Msiexec Dll у підозрілих каталогах (через cmdline)
Переглянути
Виконання симуляції
Передумова: перевірка телеметрії та базової лінії перед польотом повинна пройти.
Опис атаки та команди
- Виконання користувача (T1204) – Атакуючий вмовляє користувача відкрити QuickAssist.
-
Бічне навантаження DLL (T1574.001) – Під час запуску QuickAssist атакуючий копіює шкідливий DLL (
malicious.dll) у той же каталог, що й HRUpdate.exe і потім запускає HRUpdate.exe, що призводить до завантаження шкідливого DLL. -
Створення запланованого завдання (T1546.010) – Атакуючий використовує msiexec.exe -z в поєднанні з shell командою (
powershell -EncodedCommand …) для створення прихованого запланованого завдання, яке запускає шкідливе навантаження. -
Виконання підписаного проксі-бінарного файлу (T1218.002 / T1218.007) – Навантаження запускається через msiexec і, за бажанням, через WMI (
wmic process call create …) щоб змішатися з діями законними діями адміністратора.
Регресійний тестовий сценарій
# -------------------------------------------------
# Сценарій симуляції – активність Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Розгорніть шкідливий DLL поряд з HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force
# 2. Запустіть QuickAssist (законний)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden
# 3. Виконайте HRUpdate.exe, щоб активувати бічне завантаження DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait
# 4. Створіть заплановане завдання, використовуючи msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden
# 5. (Необов'язково) Виконайте ту ж команду через WMI, щоб покрити T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Кінець симуляції
# -------------------------------------------------Команди очищення
# Завершіть будь-які залишкові процеси QuickAssist або HRUpdate
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force
# Видаліть шкідливий DLL
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue
# Видаліть заплановане завдання
schtasks /Delete /TN "SysUpdate" /F
# Видаліть тимчасовий лог msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue