Matanbuchusマルウェア検出: 新しいマルスパムキャンペーンがマルウェアローダーとCobalt Strikeを配布

Matanbuchusは、2021年初頭に賃貸価格2,500ドルのマルウェア・アズ・ア・サービス（MaaS）プロジェクトとして初めて登場しました。Matanbuchusは、マルウェアの実行サイクル中に2つのDLLを使用するローダーです。今年、このマルウェアは、Cobalt Strikeビーコンを展開することを目指したフィッシング攻撃で配信されています。

Matanbuchusマルウェアの検出

効率的なMatanbuchusマルウェアの検出には、以下に示すSOC Prime Threat Bounty Programの才能あるメンバーによって開発されたSigmaルールのセットを使用してください。 Sittikorn Sangrattanapitak and Emir Erdoganによって、システム内の関連のある疑わしい活動をタイムリーに追跡してください：

プロセス作成によるMatanbuchusマルウェアの検出

タスク作成によるMatanbuchusマルウェア・アズ・ア・サービス検出の可能性（プロセス作成経由）

これらの検出は、23以上のSIEM、EDR、XDRプラットフォームで使用でき、 MITRE ATT&CK®フレームワーク v.10に準拠しており、主な技法としてSigned Binary Proxy Execution（T1218）とScheduled Task/Job（T1053）を使用して回避と実行の戦術に対応します。

サイバーセキュリティの専門家は Threat Bounty Program に参加して、 Sigmaルール をコミュニティと共有し、定期的な報酬を得ることができます。

SOC PrimeプラットフォームのThreat Detection MarketplaceリポジトリでMatanbuchusマルウェアに関連する検出コンテンツの更新をフォローするには、 Detect & Hunt ボタンを押してください。SOC Primeの検出コンテンツライブラリは常に新しいコンテンツで更新されており、協力的なサイバー防御アプローチとFollow the Sun（FTS）モデルによって、重要な脅威に対する検出のタイムリーな提供が可能です。現在のサイバー脅威の状況を形作る最新のトレンドに追いつき、関連する脅威のコンテキストを掘り下げますか？SOC Primeの検索エンジンをお試しください！ Explore Threat Context ボタンを押して、主な脅威や新しく公開されたSigmaルールのプールを即座にナビゲートし、関連するコンテキスト情報を一箇所で探索します。

Detect & Hunt Explore Threat Context

Matanbuchusのメールスパムキャンペーン

Palo Alto Networks研究者は2021年夏にMatanbuchusローダーを説明する調査を発表し、その機能を、.dllおよび.exeファイルの起動能力、カスタムPowerShellコマンドの起動能力、schtasks.exeの悪用、独立した実行可能ファイルと特定しました。

この精緻なMaaSプロジェクトは今年再浮上し、メールスパムキャンペーンを通じてマルウェアを配布しています。これは被害者を、件名に ‘Re:’ が含まれる偽のメール会話に反応させるよう誘導するものです。メールにはHTMLファイルを含むZIPファイルが添付されており、それは追加のZIPアーカイブを作成します。これには、”Westeast Tech Consulting, Corp.”の正規のDigiCert証明書で署名されたMSIパッケージを抽出します。このメールスパム攻撃により、Matanbuchusマルウェアが配信されます。

システムに感染すると、Matanbuchusローダーは、Cobalt Strikeビーコンでシステムを感染させます。 Qakbot の展開例もあります。

サイバーセキュリティのリスクの速いペースの環境でミスなく運営し、最善の緩和策を得るには、 SOC Prime – 世界中の著名な現場エキスパートが作成した世界最大の検出コンテンツプールにアクセスするために Detection as Code プラットフォームに参加してください。