Follow
概要
Matanbuchusは、2020年からMalware‑as‑a‑Service(MaaS)として提供されているC++で構築された悪意あるダウンローダーです。2025年7月に観測されたバージョン3.0は、Protobufベースのシリアライゼーション、ChaCha20暗号化、および複数の新しい解析回避技術を導入しています。このマルウェアは、C2サーバーから主要なバックドアモジュールを取得するダウンローダーモジュールで構成され、その後、永続性、コマンド実行、および後続のペイロードの配信を処理します。ランサムウェア事件や、Rhadamanthys情報スティーラーおよびNetSupport RATを配信するキャンペーンに関連付けられています。
Matanbuchus 3.0 分析
この分析は、ダウンローダーとメインモジュールの2つのコンポーネントについて説明し、QuickAssistを使用した初期感染チェーンを gpa-cro.comでホストされた悪意のあるMSIと HRUpdate.exeとして偽装されたサイドローディングDLLを通じて示します。ダウンローダーは、メインモジュールを取得するために mechiraz.com にアクセスし、その後、C2に登録し、 Update Tracker Taskと名付けられたスケジュールされたタスクを作成し、ホストごとのミューテックスを設定します。C2トラフィックは、ChaCha20キーとノンスで保護された暗号化されたProtobufメッセージを使用したHTTPS経由で流れます。
緩和策
防御策には、ネットワークエッジでの悪意あるgpa-cro.comおよびmechiraz.comドメインのブロック、Update Tracker Taskの作成と関連するHKCUレジストリキーの監視、信頼されていないMSIパッケージおよびサイドローディングされたDLLの実行を防ぐためのアプリケーションホワイトリスティングの強制があります。セキュリティチームは、ChaCha20で暗号化された特有のトラフィックを検出し、署名されていない、または未確認のファイルに対してWindowsのユーティリティ(例:msiexec)の使用を制限するべきです。
レスポンス
Matanbuchusの活動が検出された場合、影響を受けたシステムを隔離し、スケジュールされたタスクの定義、レジストリエントリ、ミューテックス値、および取得されたペイロードをキャプチャした後、悪意のあるバイナリおよびタスクを削除します。包括的なエンドポイントフォレンジックスを実施して、第二段階のペイロードや流出したデータを発見し、さらには露出した資格情報をリセットし、影響を受けたActive Directoryアカウントを修復します。
mermaid graph TB %% クラス定義セクション classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% ノード – 技術、ツール、プロセス init_remote_access[“<b>技術</b> – <b>T1219 リモートアクセスツール</b><br/>QuickAssistリモートアシスタンスを使用して足場を取得。”] tool_quickassist[“<b>ツール</b> – <b>名前</b>: QuickAssist<br/><b>説明</b>: Windowsリモートアシスタンスユーティリティ”] execution_user_exec[“<b>技術</b> – <b>T1204.002 ユーザー実行</b><br/>コマンドラインを介してダウンロードされた悪意のあるMSI”] process_msi[“<b>プロセス</b> – <b>名前</b>: Malicious.msi<br/><b>説明</b>: ペイロード配送”] tool_cmdshell[“<b>ツール</b> – <b>名前</b>: Windowsコマンドシェル<br/><b>技術ID</b>: T1059.003”] process_hrupdate[“<b>プロセス</b> – <b>名前</b>: HRUpdate.exe<br/><b>説明</b>: cmdによって実行された”] tool_msiexec[“<b>ツール</b> – <b>名前</b>: Msiexec<br/><b>技術ID</b>: T1218.007<br/>DLLサイドローディングに使用”] process_maliciousdll[“<b>プロセス</b> – <b>名前</b>: Malicious DLL<br/><b>説明</b>: msiexecによってロードされた”] persistence_schtask[“<b>技術</b> – <b>T1053 スケジュールタスク/ジョブ</b><br/>再起動時にmsiexecを実行するタスクを作成”] discovery_systeminfo[“<b>技術</b> – <b>T1082 システム情報の発見</b><br/>ホスト名、OSなどを収集”] discovery_identity[“<b>技術</b> – <b>T1589 被害者のID情報収集</b><br/>ユーザーとドメインの詳細を収集”] discovery_network[“<b>技術</b> – <b>T1590.001 ドメインプロパティ</b><br/>ドメインとセキュリティ製品情報を収集”] defense_obfuscation[“<b>技術</b> – <b>T1027 隠蔽または情報の難読化</b><br/>動的API解決とジャンクコード”] defense_deobfuscate[“<b>技術</b> – <b>T1140 隠蔽解除/情報のデコード</b>”] defense_virustime[“<b>技術</b> – <b>T1497.003 時間ベースの回避</b>”] defense_useractivity[“<b>技術</b> – <b>T1497.002 ユーザー活動ベースのチェック</b>”] c2_webservice[“<b>技術</b> – <b>T1102.002 ウェブサービス双方向通信</b><br/>暗号化されたProtobufによるHTTPS”] c2_appprotocol[“<b>技術</b> – <b>T1071 アプリケーション層プロトコル</b><br/>HTTP/HTTPSを使用”] payload_powershell[“<b>技術</b> – <b>T1059.001 PowerShell</b><br/>ダウンロードされたペイロードを実行”] payload_cmdshell[“<b>技術</b> – <b>T1059.003 Windowsコマンドシェル</b><br/>EXE DLL MSIを実行”] process_injection[“<b>技術</b> – <b>T1055.001 DLLインジェクション</b><br/>名前付きパイプによるインジェクション”] tool_wmi[“<b>ツール</b> – <b>名前</b>: Windowsリモート管理(WMI)<br/><b>技術ID</b>: T1021.006”] %% クラス割り当て class init_remote_access action class tool_quickassist tool class execution_user_exec action class process_msi process class tool_cmdshell tool class process_hrupdate process class tool_msiexec tool class process_maliciousdll process class persistence_schtask action class discovery_systeminfo action class discovery_identity action class discovery_network action class defense_obfuscation action class defense_deobfuscate action class defense_virustime action class defense_useractivity action class c2_webservice action class c2_appprotocol action class payload_powershell action class payload_cmdshell action class process_injection action class tool_wmi tool %% 接続 – 攻撃フロー init_remote_access u002du002d>|使用| tool_quickassist tool_quickassist u002du002d>|有効化| execution_user_exec execution_user_exec u002du002d>|ダウンロード| process_msi process_msi u002du002d>|cmdで実行| tool_cmdshell tool_cmdshell u002du002d>|実行| process_hrupdate process_hrupdate u002du002d>|起動| tool_msiexec tool_msiexec u002du002d>|ロード| process_maliciousdll process_maliciousdll u002du002d>|作成| persistence_schtask persistence_schtask u002du002d>|再起動時に実行| tool_msiexec persistence_schtask u002du002d>|実行| process_maliciousdll init_remote_access u002du002d>|リード| discovery_systeminfo init_remote_access u002du002d>|リード| discovery_identity init_remote_access u002du002d>|リード| discovery_network process_maliciousdll u002du002d>|使用| defense_obfuscation process_maliciousdll u002du002d>|使用| defense_deobfuscate process_maliciousdll u002du002d>|適用| defense_virustime process_maliciousdll u002du002d>|適用| defense_useractivity process_maliciousdll u002du002d>|通信| c2_webservice c2_webservice u002du002d>|使用| c2_appprotocol c2_webservice u002du002d>|配信| payload_powershell c2_webservice u002du002d>|配信| payload_cmdshell payload_powershell u002du002d>|実行| process_injection payload_cmdshell u002du002d>|実行| process_injection process_injection u002du002d>|使用| tool_wmi
攻撃フロー
シミュレーション実行
前提条件: テレメトリおよびベースラインのプリフライトチェックをクリアしていること。
攻撃の説明とコマンド
- ユーザー実行 (T1204) – 攻撃者はユーザーを説得してQuickAssist.
- のDLLサイドローディング (T1574.001) を促します。 – QuickAssistが実行されている間に、攻撃者は悪意のあるDLL(
malicious.dll)を同じディレクトリにコピーし、HRUpdate.exe を起動してHRUpdate.exe、悪意のあるDLLをロードさせます。 - スケジュールされたタスクの作成(T1546.010) – 攻撃者は、msiexec.exe -z を使ってシェルコマンド(
powershell -EncodedCommand …)を組み合わせて、悪意のあるペイロードを実行する隠れたスケジュールタスクを作成します。 - 署名されたバイナリプロキシの実行 (T1218.002 / T1218.007) – ペイロードは、msiexec および場合によってはWMI (
wmic process call create …)を通じて、正当な管理者アクションとして偽装して起動されます。
回帰テストスクリプト
# -------------------------------------------------
# シミュレーションスクリプト – Matanbuchusの活動 (TTPs)
# -------------------------------------------------
# 1. HRUpdate.exeの横に悪意のあるDLLを配置
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force
# 2. QuickAssistを起動(正当)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden
# 3. HRUpdate.exeを実行してDLLサイドローディングをトリガー
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait
# 4. msiexec.exe -zを使用してスケジュールされたタスクを作成
$taskName = "SysUpdate"
$taskCmd = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden
# 5. (オプション) T1218.007をカバーするためにWMI経由で同じペイロードを実行
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# シミュレーション終了
# -------------------------------------------------クリーンアップコマンド
# 残っているQuickAssistまたはHRUpdateプロセスを終了
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force
# 悪意のあるDLLを削除
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue
# スケジュールされたタスクを削除
schtasks /Delete /TN "SysUpdate" /F
# 一時的なmsiexecログを削除
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue