Erkennung des Matanbuchus-Malwares: Neue Malspam-Kampagne verteilt Malware-Loader und Cobalt Strike
Inhaltsverzeichnis:
Matanbuchus tauchte erstmals Anfang 2021 als Malware-as-a-Service (MaaS)-Projekt zu einem Mietpreis von 2.500 $ auf. Matanbuchus ist ein Loader, der zwei DLLs während des Malware-Ablaufs verwendet. Dieses Jahr wird die Malware in Phishing-Angriffen verbreitet, die darauf abzielen, Cobalt Strike Beacons zu implementieren.
Matanbuchus-Malware erkennen
Für eine effiziente Erkennung der Matanbuchus-Malware verwenden Sie die unten aufgeführten Sigma-Regeln, die von den talentierten Mitgliedern des SOC Prime Threat Bounty Programs entwickelt wurden, Sittikorn Sangrattanapitak and Emir Erdogan, um zeitnah eine relevante verdächtige Aktivität in Ihrem System zu verfolgen:
Matanbuchus-Malware-Erkennung über process_creation
Diese Erkennungen können auf mehr als 23 SIEM-, EDR- und XDR-Plattformen verwendet werden, die mit dem MITRE ATT&CK® Framework v.10, das die Taktiken Verteidigungsausweichen und Ausführung mit Signierter Binärdateiprozessausführung (T1218) und Geplante Aufgabe/Job (T1053) als primäre Techniken anspricht.
Experten der Cybersicherheit sind herzlich eingeladen, dem Threat Bounty Program beizutreten, um ihre Sigma-Regeln mit der Gemeinschaft zu teilen und wiederkehrende Belohnungen zu erhalten.
Verfolgen Sie die Updates der Erkennungsinhalte im Zusammenhang mit Matanbuchus-Malware im Threat Detection Marketplace-Repository der SOC Prime Plattform, indem Sie die Detect & Hunt Taste betätigen. Die Erkennungsinhaltsbibliothek von SOC Prime wird ständig mit neuen Inhalten aktualisiert, unterstützt durch den kollaborativen Ansatz der Cyberabwehr und ermöglicht durch das Follow the Sun (FTS)-Modell, um die rechtzeitige Bereitstellung von Erkennungen für kritische Bedrohungen sicherzustellen. Möchten Sie mit den neuesten Trends Schritt halten, die die aktuelle Cyber-Bedrohungslandschaft prägen, und in den relevanten Bedrohungskontext eintauchen? Probieren Sie die Suchmaschine von SOC Prime aus! Drücken Sie den Explore Threat Context Button, um sofort die wichtigsten Bedrohungen und neu veröffentlichten Sigma-Regeln zu erkunden und relevante Kontextinformationen an einem Ort zu entdecken.
Detect & Hunt Explore Threat Context
Matanbuchus Malspam-Kampagne
Palo Alto Networks-Forscher veröffentlichten eine Untersuchung, die den Matanbuchus-Loader im Sommer 2021 beschreibt und seine Funktionen wie folgt identifiziert: Fähigkeit, .dll- und .exe-Dateien sowie benutzerdefinierte PowerShell-Befehle zu starten, den Missbrauch von schtasks.exe und eigenständige ausführbare Dateien.
Das ausgeklügelte MaaS-Projekt tauchte dieses Jahr wieder auf und verbreitete die Malware über eine Malspam-Kampagne, die die Opfer dazu verleitet, auf gefälschte E-Mail-Gespräche zu reagieren, die ein „Re:“ in der Betreffzeile enthalten. Die E-Mails beinhalten eine ZIP-Datei mit einer HTML-Datei, die ein zusätzliches ZIP-Archiv erstellt. Dies extrahiert ein MSI-Paket, das digital mit einem legitimen DigiCert-Zertifikat für „Westeast Tech Consulting, Corp.“ signiert ist. Dieser Malspam-Angriff liefert die Matanbuchus-Malware.
Einmal im System infiziert der Matanbuchus-Loader das kompromittierte System mit Cobalt Strike Beacons. Es gibt auch Instanzen der Qakbot -Bereitstellungen.
Verpassen Sie keinen Schlag im schnelllebigen Umfeld der Cybersecurity-Risiken und erhalten Sie die besten Abhilfelösungen mit SOC Prime – Treten Sie der Detection as Code -Plattform bei, um Zugang zum weltweit größten Erkennungsinhalts-Pool zu erhalten, der von renommierten Fachexperten erstellt wurde.
