Güvenlik araştırmacıları, 'Matanbuchus' kötü amaçlı yazılımlarını, tehlikeye atılan makinelere kobalt grev işaretlerini düşürmeleri için sunan yeni bir kötü niyetli spam kampanyası fark ettiler.
Kobalt Strike, tehdit aktörleri tarafından yanal hareket için sıklıkla kullanılan ve ek yükler bırakacak bir penetrasyon testi paketidir.
Matanbuchus, ilk olarak Şubat 2021'de Karanlık Web'deki reklamlarda, yürütülebilir dosyaları doğrudan sistem belleğine başlatan 2.500 dolarlık bir yükleyici olarak gören bir Hizmet Olarak Kötü Yazılım (MAAS) projesidir.
Palo Alto Networks birimi 42, Haziran 2021'de analiz etti ve operasyonel altyapının kapsamlı kısımlarını haritaladı. Kötü amaçlı yazılım özellikleri arasında özel PowerShell komutlarının başlatılması, DLL yükleri yüklemek için bağımsız yürütülebilir ürünlerden yararlanmak ve görev programlarının eklenmesi yoluyla kalıcılık oluşturmak yer alır.
Tehdit analisti Brad Duncan, kötü amaçlı yazılım örneğini ele geçirdi ve bir laboratuvar ortamında nasıl çalıştığını inceledi.
Şu anda devam eden Malspam kampanyası, önceki e -posta konuşmalarına yanıt gibi davranan lures kullanıyor, bu nedenle konu satırında bir 're:' yer alıyorlar.
E -postalar, yeni bir ZIP arşivi oluşturan bir HTML dosyası içeren bir zip eki taşır. Bu sonuçta DigiCert tarafından "WestEast Tech Consulting, Corp." için verilen geçerli bir sertifika ile dijital olarak imzalanmış bir MSI paketini çıkarır.
MSI yükleyicisinin çalıştırılması, kurbanı perde arkasında olanlardan uzaklaştırmak için bir hata mesajıyla biten bir Adobe Acrobat yazı tipi kataloğu güncellemesi başlattığı sözde.
Arka planda, iki Matanbuchus DLL yükü ("Main.dll") iki farklı konuma bırakılır, sistem yeniden başlatmalarında kalıcılığı korumak için planlanmış bir görev oluşturulur ve Komut ve Kontrol (C2) sunucusu ile iletişim kurulur.
Son olarak, Matanbuchus, C2 sunucusundan kobalt grev yükünü yükleyerek daha geniş bir sömürü potansiyeline yol açar.
Metanbuchus Malspam kampanyasında ikinci aşamalı bir yük olarak kobalt grevi ilk olarak 23 Mayıs 2022'de bir Alman güvenlik şirketi DCSO tarafından bildirildi. Ayrıca Qakbot'un bazı durumlarda da teslim edildiğini fark ettiler.
İlginç bir şekilde, bu kampanyada, MSI dosyası için kullanılan dijital imza yine DigiCert'ten "Gelişmiş Access Services Ltd" e verilen geçerli bir imza idi.
Duncan ayrıca web sitesinde trafik örnekleri, eserleri, örnekleri ve uzlaşma göstergeleri (IOCS) yayınladı.
Ukrayna'da Kobalt Strike Dağıtmak İçin Kullanılan Sahte Antivirüs Güncellemeleri
Bilgisayar korsanları, kobalt grevini dağıtmak için üç yaşındaki Telerik kusurlarını sömürüyor
Yeni Malibot Android Bankacılık Kötü Yazılım Kripto Madenci olarak yayılıyor
Google Play Store'daki Android kötü amaçlı yazılım 2 milyon indirme alıyor
Yeni Syslogk Linux rootkit, arka kapıyı tetiklemek için sihirli paketler kullanıyor
Kaynak: Bleeping Computer