Détection du Malware Matanbuchus : Nouvelle Campagne de Malspam Distribue Chargeur de Malware et Cobalt Strike
Table des matières :
Matanbuchus a fait surface pour la première fois au début de 2021 en tant que projet de malware-as-a-service (MaaS) à un prix de location de 2 500 $. Matanbuchus est un chargeur qui utilise deux DLL lors du cycle d’exécution du malware. Cette année, le malware est livré dans des attaques de phishing visant à déployer des balises Cobalt Strike.
Détecter le malware Matanbuchus
Pour une détection efficace du malware Matanbuchus, utilisez un ensemble de règles Sigma ci-dessous développées par les membres talentueux du SOC Prime Threat Bounty Program, Sittikorn Sangrattanapitak and Emir Erdogan, pour suivre en temps opportun une activité suspecte pertinente dans votre système :
Détection de malware Matanbuchus via process_creation
Ces détections peuvent être utilisées sur plus de 23 plateformes SIEM, EDR & XDR, alignées avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’évasion de défense et d’exécution avec l’exécution par proxy binaire signé (T1218) et la tâche/emploi planifié(e) (T1053) comme techniques principales.
Les adeptes de la cybersécurité sont les bienvenus pour rejoindre le Threat Bounty Program pour partager leurs règles Sigma avec la communauté et recevoir des récompenses récurrentes.
Suivez les mises à jour du contenu de détection lié au malware Matanbuchus dans le dépôt Marketplace de détection des menaces de la plate-forme SOC Prime en cliquant sur le bouton Détecter & Chasser . La bibliothèque de contenu de détection de SOC Prime est constamment mise à jour avec de nouveaux contenus, enrichie par l’approche collaborative de défense cyber et activée par le modèle Follow the Sun (FTS) pour garantir une livraison en temps opportun des détections pour les menaces critiques. Vous cherchez à suivre les dernières tendances façonnant le paysage actuel des menaces cyber et à plonger dans un contexte de menace pertinent ? Essayez le moteur de recherche de SOC Prime ! Appuyez sur le bouton Explorer le Contexte de Menace pour naviguer instantanément dans le pool des principales menaces et des nouvelles règles Sigma publiées, en explorant des informations contextuelles pertinentes à un seul endroit.
Détecter & Chasser Explorer le Contexte de Menace
Campagne Malspam Matanbuchus
Les chercheurs deLes chercheurs de
ont publié une enquête décrivant le chargeur Matanbuchus à l’été 2021, identifiant ses caractéristiques comme suit : capacité à lancer des fichiers .dll et .exe et des commandes PowerShell personnalisées, l’abus de schtasks.exe et d’exécutables autonomes. Le projet sophistiqué de MaaS a refait surface cette année, distribuant le malware via une campagne de malspam qui incite les victimes à réagir à de fausses conversations par email commencées contenant un ‘Re :’ dans la ligne de sujet. Les emails incluent un fichier ZIP avec un fichier HTML qui crée une archive ZIP supplémentaire. Il extrait un package MSI, signé numériquement avec un certificat valide DigiCert pour « Westeast Tech Consulting, Corp. » Cette attaque de malspam délivre le malware Matanbuchus.
Une fois dans le système, le chargeur Matanbuchus infecte le système compromis avec des balises Cobalt Strike. Il existe également des instances de déploiements Qakbot .
Ne manquez jamais un battement en opérant dans un environnement à rythme rapide de risques de cybersécurité et obtenez les meilleures solutions d’atténuation avec SOC Prime – Rejoignez la Detection as Code plateforme pour débloquer l’accès au plus grand pool de contenu de détection au monde créé par des experts de terrain réputés.
