Matanbuchus

ほぼこもセキュリティニュース By Terilogy Worx

Matanbuchusはマルウェアです。
Matanbuchusは2021年2月から開始されていることが確認されているMaaS(サービスとしてのマルウェア)です。
Matanbuchusは実行可能ファイルをシステムメモリに直接起動する機能を持っています。
MaaSで2500ドルで利用することができます。
こんな機能が搭載されています。

  • カスタムPowerShellコマンドの起動
  • スタンドアロンの実行可能ファイルを利用したDLLペイロードの読み込み
  • タスクスケジュールの追加による永続性の確立

現在観測されているMatanbuchusのキャンペーンは、こんな風に進みます。

  • メールが届く
    メールから始まります。
    メールのサブジェクトは「Re:」が含まれていて送受信中のメールのスレッドに見えるようになっています。

     

  • メールには添付ファイル
    ZIP形式のファイルが添付ファイルとしてメールにくっついています。

     

  • ZIPのなかからMSI
    ZIPのなかには、MSIファイルが含まれています。
    MSIはMicrosoft Installerです。
    Windowsアプリケーションのインストール用のイメージ・ファイル形式です。
    このMSIファイルは有効な証明書でデジタル署名されています。

     

  • MSIを実行するとエラーになる
    MSIインストーラーを実行すると、Adobe Acrobatフォントカタログの更新が開始されます。
    ほどなく、エラーメッセージが表示されます。
    被害者の注意をそらすということが想像されます。

     

  • マルウェアが配置される
    エラーメッセージを表示しているとき、バックグラウンドでマルウェアの配置が実施されます。
    2種類のマルウェアが別々の場所に配置され、永続化の機構も仕掛けられてしまいます。

     

  • Cobalt Strikeをもってくる
    配置されて活動を開始したマルウェアはCobalt StrikeペイロードをC2から取得します。
    これによってより広範囲な悪事が可能となります。

いろいろあって添付ファイルのない生活を送っている人は一定数いるのではないかと思いますが、その生活はまだ続いていくような感じがします。
便利と危険はセットになっているような面があるため致し方ない感じもしますが、不便だなぁと思います。

参考記事(外部リンク):New phishing attack infects devices with Cobalt Strike
www.bleepingcomputer.com/news/security/new-phishing-attack-infects-devices-with-cobalt-strike/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。