Matanbuchusはマルウェアです。
Matanbuchusは2021年2月から開始されていることが確認されているMaaS(サービスとしてのマルウェア)です。
Matanbuchusは実行可能ファイルをシステムメモリに直接起動する機能を持っています。
MaaSで2500ドルで利用することができます。
こんな機能が搭載されています。
- カスタムPowerShellコマンドの起動
- スタンドアロンの実行可能ファイルを利用したDLLペイロードの読み込み
- タスクスケジュールの追加による永続性の確立
現在観測されているMatanbuchusのキャンペーンは、こんな風に進みます。
- メールが届く
メールから始まります。
メールのサブジェクトは「Re:」が含まれていて送受信中のメールのスレッドに見えるようになっています。 - メールには添付ファイル
ZIP形式のファイルが添付ファイルとしてメールにくっついています。 - ZIPのなかからMSI
ZIPのなかには、MSIファイルが含まれています。
MSIはMicrosoft Installerです。
Windowsアプリケーションのインストール用のイメージ・ファイル形式です。
このMSIファイルは有効な証明書でデジタル署名されています。 - MSIを実行するとエラーになる
MSIインストーラーを実行すると、Adobe Acrobatフォントカタログの更新が開始されます。
ほどなく、エラーメッセージが表示されます。
被害者の注意をそらすということが想像されます。 - マルウェアが配置される
エラーメッセージを表示しているとき、バックグラウンドでマルウェアの配置が実施されます。
2種類のマルウェアが別々の場所に配置され、永続化の機構も仕掛けられてしまいます。 - Cobalt Strikeをもってくる
配置されて活動を開始したマルウェアはCobalt StrikeペイロードをC2から取得します。
これによってより広範囲な悪事が可能となります。
いろいろあって添付ファイルのない生活を送っている人は一定数いるのではないかと思いますが、その生活はまだ続いていくような感じがします。
便利と危険はセットになっているような面があるため致し方ない感じもしますが、不便だなぁと思います。
参考記事(外部リンク):New phishing attack infects devices with Cobalt Strike
www.bleepingcomputer.com/news/security/new-phishing-attack-infects-devices-with-cobalt-strike/
| この記事をシェア |
|
|---|
