Matanbuchus-malware verspreid via Microsoft Teams-oproepen

De Matanbuchus-malware loader wordt momenteel verspreid door middel van social engineering via Microsoft Teams-oproepen, waarbij aanvallers zich voordoen als IT-helpdeskmedewerkers.

Matanbuchus is een ‘malware-as-a-service’ die voor het eerst in 2021 op het dark web werd gepromoot. Het werd aangeboden als een Windows-loader van $2.500, die schadelijke bestanden direct in het geheugen uitvoert om detectie te omzeilen.

In juni 2022 meldde dreigingsanalist Brad Duncan dat Matanbuchus werd gebruikt om Cobalt Strike-beacons te verspreiden in een grootschalige malspamcampagne.

Onderzoekers van Morphisec, een bedrijf voor endpoint bedreigingspreventie, ontdekten dat de nieuwste versie van Matanbuchus verbeterde vermijding, versluiering en mogelijkheden na compromis bevat.

Misbruik van Microsoft Teams

De afgelopen jaren is Microsoft Teams misbruikt om met behulp van social engineering organisaties te infiltreren en de eerste stap in malwareverspreiding te zetten. Aanvallers dringen de chat binnen en verleiden gebruikers om een schadelijk bestand te downloaden dat de eerste lading op het systeem introduceert.

In 2023 ontwikkelde een onderzoeker een gespecialiseerde tool die bugs in de software exploiteerde om malware van externe accounts te bezorgen.

Vorig jaar gebruikten operators van de DarkGate-malware Microsoft Teams om hun loader te verspreiden via gebruikers met slappe ‘Externe Toegang’-instellingen.

Volgens Morphisec hebben de operators van de nieuwste Matanbuchus-variant, versie 3.0, ook een voorkeur voor Microsoft Teams voor initiële toegang.

De aanvaller start een externe Microsoft Teams-oproep en doet zich voor als een legitieme IT-helpdesk, waarbij het slachtoffer wordt overtuigd om Quick Assist, de ingebouwde Windows-remotetool, te openen.

Quick Assist stelt de aanvaller in staat om interactieve externe toegang te krijgen en vervolgens aanduidingen te geven om een PowerShell-script uit te voeren. Dit script downloadt en extraheert een ZIP-archief met drie bestanden die de Matanbuchus-loader op het apparaat activeren via DLL zijlading.

Matanbuchus 3.0

Morphisec meldt dat Matanbuchus 3.0 verschillende nieuwe functies en verbeteringen introduceert. De ontwikkelaars hebben de communicatie en versluiering van commando-en-control (C2) omgeschakeld van RC4 naar Salsa20.

De payloads draaien nu in het geheugen en er is een nieuwe anti-sandbox verificatieroutine toegevoegd om ervoor te zorgen dat de malware alleen in gedefinieerde omgevingen werkt.

In plaats van Windows API-functies aan te roepen, voert de malware nu syscalls uit via aangepaste shellcode die Windows API-wrappers en EDR-hooks omzeilt, waardoor acties verborgen blijven die doorgaans door beveiligingstools worden gecontroleerd.

API-aanroepen zijn verder versluierd door gebruik te maken van de ‘MurmurHash3’-functie, wat reverse engineering en statische analyse bemoeilijkt.

Wat betreft de post-infectiecapaciteiten van Matanbuchus 3.0, kan het CMD-opdrachten, PowerShell of EXE, DLL, MSI en shellcode payloads uitvoeren.

De malware verzamelt details zoals gebruikersnaam, domein, OS-bouwinformatie, actieve EDR/AV-processen en de verhoogde status van zijn proces (beheerder of gewone gebruiker).

Morphisec’s analyse ontdekte dat de malware de draaiende processen controleert om beveiligingstools op het systeem te identificeren, waarbij wordt opgemerkt dat de uitvoering door de C2 waarschijnlijk afhankelijk is van de huidige beveiligingsstack van het slachtoffer.

De onderzoekers hebben een gedetailleerde technische analyse van de malware gepubliceerd en zeggen dat Matanbuchus zich heeft ontwikkeld tot een “complexe dreiging”. Ze bieden ook indicatoren van betrokkenheid, zoals malwaremonsters en domeinen die door de malware worden gebruikt.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.