Matanbuchus 3.0: Технічний Аналіз
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Matanbuchus — це шкідливий завантажувач на базі C++, який розповсюджується як послуга з шкідливого програмного забезпечення (MaaS) з 2020 року. Версія 3.0, яка була виявлена в липні 2025 року, впроваджує серіалізацію на основі Protobuf, шифрування ChaCha20 та декілька нових методів протидії аналізу. Шкідливе програмне забезпечення складається з модуля-завантажувача, який отримує основний бекдор з C2 сервера, потім займається забезпеченням постійності, виконанням команд і доставкою наступних завантажуваних модулів. Його пов’язують з інцидентами викупного програмного забезпечення та кампаніями, що розповсюджують викрадача інформації Rhadamanthys і NetSupport RAT.
Аналіз Matanbuchus 3.0
Аналіз описує два компоненти: завантажувач і основний модуль, і зазначає початковий ланцюг інфекції за допомогою QuickAssist, шкідливий MSI, розміщений на gpa-cro.com, і підстановчий DLL, що маскується під HRUpdate.exe. Завантажувач зв’язується з mechiraz.com щоб отримати основний модуль, який потім реєструється з C2, створює заплановане завдання з назвою Update Tracker Task, і встановлює кожного хоста по окремому мьютексу. Трафік C2 проходить за допомогою HTTPS з використанням зашифрованих повідомлень Protobuf із захистом за допомогою ключів ChaCha20 і nonce.
Скорочення ризиків
Захисні заходи включають блокування шкідливих доменів gpa-cro.com і mechiraz.com на межі мережі, моніторинг створення завдання Update Tracker Task і відповідного ключа реєстру HKCU і запровадження білого списку додатків, щоб зупинити виконання неперевірених MSI-пакетів і підстановчих DLL. Командам безпеки слід виявляти характерний трафік, зашифрований ChaCha20, та обмежувати використання службових утиліт Windows, таких як msiexec, для непідписаних або неперевірених файлів.
Відповідь
Якщо виявлена активність Matanbuchus, ізолюйте уражену систему, захопіть визначення запланованого завдання, запис у реєстрі, значення мьютексу і будь-які отримані корисні навантаження, після чого видаліть шкідливі виконувані файли та завдання. Здійснюйте всебічну експертизу кінцевих точок, щоб виявити завантажувані модулі другого етапу та будь-які експільтровані дані, а потім скиньте відкриті облікові дані та відновіть уражені облікові записи Active Directory.
Потік атаки
Виявлення
Виявлення активності шкідливого програмного забезпечення Matanbuchus через виконання QuickAssist та HRUpdate.exe [Створення процесу Windows]
Переглянути
Виявлення доступу до шкідливого URL-адрес Matanbuchus [Підключення до мережі Windows]
Переглянути
IOC (HashSha256) для виявлення: технічний аналіз Matanbuchus 3.0
Переглянути
виконання Msiexec Dll у підозрілих каталогах (через cmdline)
Переглянути
Виконання симуляції
Передумова: перевірка телеметрії та базової лінії перед польотом повинна пройти.
Опис атаки та команди
- Виконання користувача (T1204) – Атакуючий вмовляє користувача відкрити QuickAssist.
-
Бічне навантаження DLL (T1574.001) – Під час запуску QuickAssist атакуючий копіює шкідливий DLL (
malicious.dll) у той же каталог, що й HRUpdate.exe і потім запускає HRUpdate.exe, що призводить до завантаження шкідливого DLL. -
Створення запланованого завдання (T1546.010) – Атакуючий використовує msiexec.exe -z в поєднанні з shell командою (
powershell -EncodedCommand …) для створення прихованого запланованого завдання, яке запускає шкідливе навантаження. -
Виконання підписаного проксі-бінарного файлу (T1218.002 / T1218.007) – Навантаження запускається через msiexec і, за бажанням, через WMI (
wmic process call create …) щоб змішатися з діями законними діями адміністратора.
Регресійний тестовий сценарій
# -------------------------------------------------
# Сценарій симуляції – активність Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Розгорніть шкідливий DLL поряд з HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force
# 2. Запустіть QuickAssist (законний)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden
# 3. Виконайте HRUpdate.exe, щоб активувати бічне завантаження DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait
# 4. Створіть заплановане завдання, використовуючи msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden
# 5. (Необов'язково) Виконайте ту ж команду через WMI, щоб покрити T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Кінець симуляції
# -------------------------------------------------
Команди очищення
# Завершіть будь-які залишкові процеси QuickAssist або HRUpdate
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force
# Видаліть шкідливий DLL
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue
# Видаліть заплановане завдання
schtasks /Delete /TN "SysUpdate" /F
# Видаліть тимчасовий лог msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue