Các nhà nghiên cứu an ninh mạng vừa đưa ra cảnh báo về một biến thể mới của trình tải mã độc (malware loader) có tên Matanbuchus. Biến thể này được trang bị thêm nhiều tính năng quan trọng nhằm tăng cường khả năng ẩn mình và lẩn tránh sự phát hiện của các công cụ bảo mật.
Matanbuchus: Từ Mã độc cho thuê đến Công cụ phát tán Ransomware
Matanbuchus là tên của một loại mã độc dưới dạng dịch vụ (Malware-as-a-Service – MaaS), hoạt động như một kênh trung gian để phát tán các payload (tải trọng độc hại) ở giai đoạn sau, điển hình là các beacon của Cobalt Strike và mã độc tống tiền (ransomware).
Lần đầu được quảng cáo vào tháng 2 năm 2021 trên các diễn đàn tội phạm mạng nói tiếng Nga với giá thuê 2.500 USD, mã độc này đã được sử dụng trong các chiến dịch mồi nhử tương tự như ClickFix, nhằm lừa người dùng truy cập vào các trang web hợp pháp nhưng đã bị xâm nhập.
Sự tiến hóa của Matanbuchus và những tính năng mới trong phiên bản 3.0
Theo thời gian, các phương thức phát tán của Matanbuchus đã ngày càng tinh vi, từ việc sử dụng các email lừa đảo (phishing) chứa liên kết đến Google Drive đã bị gài bẫy, tấn công drive-by download từ các trang web bị xâm nhập, các trình cài đặt MSI độc hại, cho đến quảng cáo độc hại (malvertising). Nó đã được dùng để triển khai nhiều loại payload thứ cấp như DanaBot, QakBot, và Cobalt Strike – tất cả đều là những tiền thân phổ biến của các cuộc tấn công bằng mã độc tống tiền.
Phiên bản mới nhất của trình tải này, được theo dõi với tên gọi Matanbuchus 3.0, tích hợp nhiều tính năng mới. Theo ghi nhận từ công ty an ninh mạng Morphisec, các tính năng này bao gồm: kỹ thuật giao thức liên lạc được cải tiến, khả năng hoạt động ngay trong bộ nhớ, các phương thức làm rối mã nâng cao, hỗ trợ reverse shell qua CMD và PowerShell, cùng khả năng chạy các payload ở giai đoạn tiếp theo dưới dạng DLL, EXE, và shellcode.
Kịch bản tấn công: Giả mạo bộ phận IT qua Microsoft Teams
Công ty an ninh mạng này cho biết họ đã quan sát thấy mã độc này trong một sự cố vào đầu tháng này. Cụ thể, một công ty (không được nêu tên) đã bị nhắm mục tiêu thông qua các cuộc gọi Microsoft Teams từ bên ngoài. Kẻ tấn công đã giả mạo là bộ phận hỗ trợ IT và lừa nhân viên khởi chạy Quick Assist để chiếm quyền truy cập từ xa, sau đó thực thi một tập lệnh PowerShell để triển khai Matanbuchus.
Đáng chú ý là các chiến thuật tấn công phi kỹ thuật (social engineering) tương tự cũng đã được sử dụng bởi các nhóm tin tặc liên quan đến mã độc tống tiền Black Basta.
Ông Michael Gorelik, Giám đốc Công nghệ (CTO) của Morphisec, cho biết: “Các nạn nhân được nhắm mục tiêu một cách cẩn thận và bị thuyết phục để thực thi một kịch bản lệnh (script), từ đó kích hoạt việc tải xuống một tệp tin nén. Tệp tin nén này chứa một trình cập nhật của Notepad++ đã được đổi tên (GUP), một tệp cấu hình XML bị chỉnh sửa đôi chút, và một tệp DLL độc hại được tải kèm (side-loaded) chính là trình tải Matanbuchus.”
Một Mối đe dọa Tinh vi trong Xu hướng Tấn công Doanh nghiệp
“Mã độc dưới dạng dịch vụ Matanbuchus 3.0 đã tiến hóa thành một mối đe dọa tinh vi,” ông Gorelik nhận định. “Phiên bản cập nhật này giới thiệu các kỹ thuật tiên tiến như giao thức liên lạc cải tiến, khả năng ẩn mình trong bộ nhớ, kỹ thuật làm rối mã nâng cao, và hỗ trợ các truy vấn WQL, reverse shell qua CMD và PowerShell. Khả năng thực thi các lệnh như regsvr32, rundll32, msiexec, hay process hollowing của trình tải này đã nhấn mạnh tính linh hoạt của nó, biến nó thành một rủi ro đáng kể đối với các hệ thống bị xâm nhập.”
Khi mã độc dưới dạng dịch vụ ngày càng phát triển, Matanbuchus 3.0 là một minh chứng cho xu hướng rộng lớn hơn của các trình tải ưu tiên khả năng tàng hình. Chúng dựa vào các tệp nhị phân có sẵn trên hệ thống (LOLBins – living-off-the-land binaries), kỹ thuật chiếm quyền điều khiển đối tượng COM (COM object hijacking), và các stager bằng PowerShell để hoạt động “dưới radar”. Các nhà nghiên cứu mối đe dọa đang ngày càng nỗ lực lập bản đồ các trình tải này như một phần của chiến lược quản lý bề mặt tấn công, và liên kết chúng với việc lạm dụng các công cụ cộng tác doanh nghiệp như Microsoft Teams và Zoom.
Theo The Hacker News
Leave a Reply