SOC Prime Bias: Alto

03 Dec 2025 16:02 UTC

Matanbuchus 3.0: Análise Técnica

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Matanbuchus 3.0: Análise Técnica
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Matanbuchus é um downloader malicioso baseado em C++ que tem sido distribuído como um serviço de Malware‑as‑a‑Service (MaaS) desde 2020. A versão 3.0, observada em julho de 2025, introduz serialização baseada em Protobuf, criptografia ChaCha20 e múltiplas novas técnicas de anti-análise. O malware é composto por um módulo de downloader que recupera um módulo de backdoor primário de seu servidor C2, em seguida, lida com persistência, execução de comandos e entrega de cargas subsequentes. Está ligado a incidentes de ransomware e campanhas de distribuição do ladrão de informações Rhadamanthys e NetSupport RAT.

Análise do Matanbuchus 3.0

A análise descreve dois componentes, um downloader e um módulo principal, e caminha através da cadeia de infecção inicial usando QuickAssist, um MSI malicioso hospedado em gpa-cro.com, e um DLL carregado na mesma pasta que finge ser HRUpdate.exe. O downloader acessa mechiraz.com para obter o módulo principal, que então se registra com o C2, cria uma tarefa agendada chamada Tarefa de Rastreamento de Atualização, e define um mutex por host. O tráfego C2 flui sobre HTTPS usando mensagens Protobuf encriptadas protegidas com chaves e nonces ChaCha20.

Mitigação

Medidas defensivas incluem bloquear os domínios maliciosos gpa-cro.com e mechiraz.com na borda da rede, monitorar a criação da Tarefa de Rastreamento de Atualização e a chave de registro HKCU associada, e aplicar listas de permissões de aplicativos para impedir que pacotes MSI não confiáveis e DLLs carregados na mesma pasta sejam executados. As equipes de segurança devem detectar o tráfego característico encriptado ChaCha20 e restringir o uso de utilitários do Windows como msiexec para arquivos não assinados ou não verificados.

Resposta

Quando a atividade de Matanbuchus é detectada, isole o sistema impactado, capture a definição da tarefa agendada, entrada de registro, valor do mutex e quaisquer cargas recuperadas, e então remova os binários e tarefas maliciosos. Realize a forense de endpoint abrangente para descobrir cargas de segunda etapa e quaisquer dados exfiltrados, seguido pela reinicialização de credenciais expostas e remediação de contas do Active Directory afetadas.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-vôo de Telemetria & Base deve ter passado.

Narrativa e Comandos de Ataque

  1. Execução pelo Usuário (T1204) – O invasor convence o usuário a abrir QuickAssist.
  2. Carga Lateral de DLL (T1574.001) – Enquanto QuickAssist é executado, o invasor copia um DLL malicioso (malicious.dll) no mesmo diretório que HRUpdate.exe e então lança HRUpdate.exe, causando o carregamento do DLL malicioso.
  3. Criação de Tarefa Agendada (T1546.010) – O invasor usa msiexec.exe -z combinado com um comando de shell (powershell -EncodedCommand …) para criar uma tarefa agendada oculta que executa a carga maliciosa.
  4. Execução de Proxy de Binário Assinado (T1218.002 / T1218.007) – A carga é lançada via msiexec e opcionalmente via WMI (wmic process call create …) para camuflar com ações legítimas de administração.

Script de Teste de Regressão

# -------------------------------------------------
# Script de Simulação – Atividade do Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Implantar DLL malicioso ao lado de HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force

# 2. Lançar QuickAssist (legítimo)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden

# 3. Executar HRUpdate.exe para acionar a carga lateral de DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait

# 4. Criar uma tarefa agendada usando msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd  = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
            ([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden

# 5. (Opcional) Executar a mesma carga útil via WMI para cobrir T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Fim da Simulação
# -------------------------------------------------

Comandos de Limpeza

# Terminar quaisquer processos QuickAssist ou HRUpdate remanescentes
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

# Remover o DLL malicioso
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue

# Excluir a tarefa agendada
schtasks /Delete /TN "SysUpdate" /F

# Remover log temporário msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue