Hackers διανέμουν το Matanbuchus 3.0 malware μέσω Microsoft Teams
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers διανέμουν το Matanbuchus 3.0 malware μέσω Microsoft Teams
https://www.secnews.gr/654125/hackers-dianemoun-matanbuchus-3-0-malware-meso-microsoft-teams/
Jul 17th 2025, 12:05
by Digital Fortress
Μια νέα και σημαντικά αναβαθμισμένη έκδοση του Matanbuchus, ενός από τους πιο διαδεδομένους malware loader στον χώρο του Malware–as–a–Service (MaaS), έχει εντοπιστεί από ειδικούς στην κυβερνοασφάλεια. Το Matanbuchus 3.0 φέρνει μαζί του έναν συνδυασμό αθόρυβης λειτουργίας, εξελιγμένων τεχνικών απόκρυψης και αυξημένων δυνατοτήτων επίθεσης, επιβεβαιώνοντας πως οι cybercrime πλατφόρμες ωριμάζουν σε επικίνδυνα επίπεδα.
Από την πρώτη του εμφάνιση σε ρωσόφωνα hacking forums το 2021, το Matanbuchus λειτουργεί ως malware loader που εγκαθιστά επιπλέον κακόβουλα payloads στα παραβιασμένα συστήματα. Αυτά μπορεί να περιλαμβάνουν:
• Cobalt Strike beacons (χρήσιμα για lateral movement),
• Ransomware strains, αλλά και
• Banking trojans όπως το DanaBot ή το QakBot.
Το νέο Matanbuchus 3.0 ωθεί τη stealth λειτουργικότητα σε άλλο επίπεδο. Σύμφωνα με ερευνητές της Morphisec, η παραλλαγή αυτή εντοπίστηκε σε πρόσφατο περιστατικό κυβερνοεπίθεσης, όπου οι επιτιθέμενοι στόχευσαν μια εταιρεία, παρίσταναν την υποστήριξη IT μέσω Microsoft Teams και κατάφεραν να εξαπατήσουν υπαλλήλους ώστε να ενεργοποιήσουν το Quick Assist (για απομακρυσμένη πρόσβαση). Ακολούθησε εκτέλεση κακόβουλου PowerShell script, που μετέφερε τον loader στον στόχο.
Δείτε επίσης: Το HazyBeacon malware κλέβει κυβερνητικά δεδομένα μέσω AWS Lambda
«Τα θύματα στοχοποιούνται προσεκτικά και πείθονται να εκτελέσουν ένα script που ενεργοποιεί τη λήψη ενός αρχείου», δήλωσε ο CTO της Morphisec, Michael Gorelik. «Αυτό το αρχείο περιέχει ένα μετονομασμένο πρόγραμμα ενημέρωσης Notepad++ (GUP), ένα ελαφρώς τροποποιημένο αρχείο XML διαμόρφωσης και ένα κακόβουλο DLL που φορτώνεται πλευρικά και αντιπροσωπεύει το πρόγραμμα φόρτωσης Matanbuchus».
Οι νέες δυνατότητες του Matanbuchus 3.0
Η τρίτη έκδοση του λογισμικού ενσωματώνει πληθώρα τεχνικών που στοχεύουν στην παράκαμψη ανίχνευσης από antivirus και EDR συστήματα:
• Ενισχυμένα κανάλια επικοινωνίας (HTTPS & DNS C2)
• Υποστήριξη CMD και PowerShell reverse shell
• Εκτέλεση DLL, EXE και shellcode payloads
• Απόκρυψη μέσω in–memory τεχνικών και COM hijacking
• Συλλογή πληροφοριών για ενεργές διεργασίες και εφαρμογές
Αυξανόμενη ευελιξία και νέες τακτικές επίθεσης
Το Matanbuchus 3.0 παραδίδεται κυρίως μέσω spear-phishing και πλαστών εγκαταστάσεων MSI, ενώ έχει παρατηρηθεί και χρήση κακόβουλης διαφήμισης (malvertising). Το ιδιαίτερο όμως είναι ο τρόπος που εκμεταλλεύεται legimate εργαλεία, όπως:
• Microsoft Teams & Zoom, μέσω τεχνικών κοινωνικής μηχανικής
• LOLBins (Living off the Land Binaries), όπως regsvr32, rundll32, msiexec
• WQL queries και API string resolution για αποφυγή detection
Η τιμολόγηση του loader πλέον αγγίζει τα $10.000 τον μήνα για HTTPS και $15.000 για DNS–based παραλλαγή, στοιχείο που υποδηλώνει επαγγελματισμό και στρατηγική εμπορευματοποίηση του λογισμικού.
Δείτε επίσης: Το Android malware Konfety χρησιμοποιεί νέες τακτικές obfuscation
Μια απειλή με ευρύτερη προέκταση στον κυβερνοχώρο
Το Matanbuchus 3.0 δεν δρα μεμονωμένα. Αντίθετα, αποτελεί κομμάτι ενός οικοσυστήματος stealth-first loaders, μαζί με εργαλεία όπως τα IceID, Bumblebee και Raspberry Robin, που λειτουργούν ως ψηφιακές γέφυρες για ransomware επιθέσεις και Advanced Persistent Threats (APT).
Πρόσφατες τακτικές του Matanbuchus έχουν παρατηρηθεί σε εκστρατείες που σχετίζονται με την ομάδα Black Basta, δείχνοντας την πιθανή διασύνδεση MaaS υποδομών με ransomware ομάδες. Καθώς οι επιθέσεις γίνονται όλο και πιο στοχευμένες, εταιρικά εργαλεία συνεργασίας και τεχνικής υποστήριξης μετατρέπονται σε «Δούρειους Ίππους» για επιθέσεις κοινωνικής μηχανικής.
Τι πρέπει να κάνουν οι οργανισμοί – Συστάσεις για ανθεκτικότητα
1. Εκπαίδευση υπαλλήλων για τεχνικές κοινωνικής μηχανικής
Η χρήση πλατφορμών όπως το Microsoft Teams για εξαπάτηση προσωπικού απαιτεί συνεχή ευαισθητοποίηση και τεχνική καθοδήγηση.
2. Υιοθέτηση Zero Trust και ελαχιστοποίηση δικαιωμάτων
Οι loaders ελέγχουν εάν «τρέχουν» με admin δικαιώματα. Ο περιορισμός αυτών σε κρίσιμες εφαρμογές μπορεί να αποτρέψει το escalation.
3. Παρακολούθηση in-memory και LOLBins δραστηριότητας
Οι κλασικοί AV μηχανισμοί συχνά αποτυγχάνουν να εντοπίσουν shellcode injection και COM hijacking.
4. Ανίχνευση ανωμαλιών στη συμπεριφορά εφαρμογών
Η χρήση εργαλείων όπως msiexec ή rundll32 για απρόσμενες διαδικασίες μπορεί να αποτελέσει trigger για έρευνα συμβάντος.
5. Συνεργασία με Managed Detection & Response (MDR) πάροχους
Οι εξελιγμένοι malware loaders, όπως το Matanbuchus, απαιτούν συνεχή ανάλυση συμβάντων και live απόκριση.
Δείτε επίσης: Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
Το Matanbuchus 3.0 αποδεικνύει ότι το Malware-as-a-Service εξελίσσεται ραγδαία, υιοθετώντας μοντέλα stealth-by-default. Ο κυβερνοχώρος πλέον δεν φιλοξενεί μόνο παραδοσιακά malware, αλλά δομημένες, ευέλικτες πλατφόρμες επίθεσης. Οι οργανισμοί καλούνται να υιοθετήσουν πολυεπίπεδη προσέγγιση στην ασφάλεια — όχι μόνο με τεχνολογικά μέτρα, αλλά και με στρατηγική κατανόηση της απειλής,
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers διανέμουν το Matanbuchus 3.0 malware μέσω Microsoft Teams
https://www.secnews.gr/654125/hackers-dianemoun-matanbuchus-3-0-malware-meso-microsoft-teams/
Jul 17th 2025, 12:05
by Digital Fortress
Μια νέα και σημαντικά αναβαθμισμένη έκδοση του Matanbuchus, ενός από τους πιο διαδεδομένους malware loader στον χώρο του Malware–as–a–Service (MaaS), έχει εντοπιστεί από ειδικούς στην κυβερνοασφάλεια. Το Matanbuchus 3.0 φέρνει μαζί του έναν συνδυασμό αθόρυβης λειτουργίας, εξελιγμένων τεχνικών απόκρυψης και αυξημένων δυνατοτήτων επίθεσης, επιβεβαιώνοντας πως οι cybercrime πλατφόρμες ωριμάζουν σε επικίνδυνα επίπεδα.
Από την πρώτη του εμφάνιση σε ρωσόφωνα hacking forums το 2021, το Matanbuchus λειτουργεί ως malware loader που εγκαθιστά επιπλέον κακόβουλα payloads στα παραβιασμένα συστήματα. Αυτά μπορεί να περιλαμβάνουν:
• Cobalt Strike beacons (χρήσιμα για lateral movement),
• Ransomware strains, αλλά και
• Banking trojans όπως το DanaBot ή το QakBot.
Το νέο Matanbuchus 3.0 ωθεί τη stealth λειτουργικότητα σε άλλο επίπεδο. Σύμφωνα με ερευνητές της Morphisec, η παραλλαγή αυτή εντοπίστηκε σε πρόσφατο περιστατικό κυβερνοεπίθεσης, όπου οι επιτιθέμενοι στόχευσαν μια εταιρεία, παρίσταναν την υποστήριξη IT μέσω Microsoft Teams και κατάφεραν να εξαπατήσουν υπαλλήλους ώστε να ενεργοποιήσουν το Quick Assist (για απομακρυσμένη πρόσβαση). Ακολούθησε εκτέλεση κακόβουλου PowerShell script, που μετέφερε τον loader στον στόχο.
Δείτε επίσης: Το HazyBeacon malware κλέβει κυβερνητικά δεδομένα μέσω AWS Lambda
«Τα θύματα στοχοποιούνται προσεκτικά και πείθονται να εκτελέσουν ένα script που ενεργοποιεί τη λήψη ενός αρχείου», δήλωσε ο CTO της Morphisec, Michael Gorelik. «Αυτό το αρχείο περιέχει ένα μετονομασμένο πρόγραμμα ενημέρωσης Notepad++ (GUP), ένα ελαφρώς τροποποιημένο αρχείο XML διαμόρφωσης και ένα κακόβουλο DLL που φορτώνεται πλευρικά και αντιπροσωπεύει το πρόγραμμα φόρτωσης Matanbuchus».
Οι νέες δυνατότητες του Matanbuchus 3.0
Η τρίτη έκδοση του λογισμικού ενσωματώνει πληθώρα τεχνικών που στοχεύουν στην παράκαμψη ανίχνευσης από antivirus και EDR συστήματα:
• Ενισχυμένα κανάλια επικοινωνίας (HTTPS & DNS C2)
• Υποστήριξη CMD και PowerShell reverse shell
• Εκτέλεση DLL, EXE και shellcode payloads
• Απόκρυψη μέσω in–memory τεχνικών και COM hijacking
• Συλλογή πληροφοριών για ενεργές διεργασίες και εφαρμογές
Αυξανόμενη ευελιξία και νέες τακτικές επίθεσης
Το Matanbuchus 3.0 παραδίδεται κυρίως μέσω spear-phishing και πλαστών εγκαταστάσεων MSI, ενώ έχει παρατηρηθεί και χρήση κακόβουλης διαφήμισης (malvertising). Το ιδιαίτερο όμως είναι ο τρόπος που εκμεταλλεύεται legimate εργαλεία, όπως:
• Microsoft Teams & Zoom, μέσω τεχνικών κοινωνικής μηχανικής
• LOLBins (Living off the Land Binaries), όπως regsvr32, rundll32, msiexec
• WQL queries και API string resolution για αποφυγή detection
Η τιμολόγηση του loader πλέον αγγίζει τα $10.000 τον μήνα για HTTPS και $15.000 για DNS–based παραλλαγή, στοιχείο που υποδηλώνει επαγγελματισμό και στρατηγική εμπορευματοποίηση του λογισμικού.
Δείτε επίσης: Το Android malware Konfety χρησιμοποιεί νέες τακτικές obfuscation
Μια απειλή με ευρύτερη προέκταση στον κυβερνοχώρο
Το Matanbuchus 3.0 δεν δρα μεμονωμένα. Αντίθετα, αποτελεί κομμάτι ενός οικοσυστήματος stealth-first loaders, μαζί με εργαλεία όπως τα IceID, Bumblebee και Raspberry Robin, που λειτουργούν ως ψηφιακές γέφυρες για ransomware επιθέσεις και Advanced Persistent Threats (APT).
Πρόσφατες τακτικές του Matanbuchus έχουν παρατηρηθεί σε εκστρατείες που σχετίζονται με την ομάδα Black Basta, δείχνοντας την πιθανή διασύνδεση MaaS υποδομών με ransomware ομάδες. Καθώς οι επιθέσεις γίνονται όλο και πιο στοχευμένες, εταιρικά εργαλεία συνεργασίας και τεχνικής υποστήριξης μετατρέπονται σε «Δούρειους Ίππους» για επιθέσεις κοινωνικής μηχανικής.
Τι πρέπει να κάνουν οι οργανισμοί – Συστάσεις για ανθεκτικότητα
1. Εκπαίδευση υπαλλήλων για τεχνικές κοινωνικής μηχανικής
Η χρήση πλατφορμών όπως το Microsoft Teams για εξαπάτηση προσωπικού απαιτεί συνεχή ευαισθητοποίηση και τεχνική καθοδήγηση.
2. Υιοθέτηση Zero Trust και ελαχιστοποίηση δικαιωμάτων
Οι loaders ελέγχουν εάν «τρέχουν» με admin δικαιώματα. Ο περιορισμός αυτών σε κρίσιμες εφαρμογές μπορεί να αποτρέψει το escalation.
3. Παρακολούθηση in-memory και LOLBins δραστηριότητας
Οι κλασικοί AV μηχανισμοί συχνά αποτυγχάνουν να εντοπίσουν shellcode injection και COM hijacking.
4. Ανίχνευση ανωμαλιών στη συμπεριφορά εφαρμογών
Η χρήση εργαλείων όπως msiexec ή rundll32 για απρόσμενες διαδικασίες μπορεί να αποτελέσει trigger για έρευνα συμβάντος.
5. Συνεργασία με Managed Detection & Response (MDR) πάροχους
Οι εξελιγμένοι malware loaders, όπως το Matanbuchus, απαιτούν συνεχή ανάλυση συμβάντων και live απόκριση.
Δείτε επίσης: Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
Το Matanbuchus 3.0 αποδεικνύει ότι το Malware-as-a-Service εξελίσσεται ραγδαία, υιοθετώντας μοντέλα stealth-by-default. Ο κυβερνοχώρος πλέον δεν φιλοξενεί μόνο παραδοσιακά malware, αλλά δομημένες, ευέλικτες πλατφόρμες επίθεσης. Οι οργανισμοί καλούνται να υιοθετήσουν πολυεπίπεδη προσέγγιση στην ασφάλεια — όχι μόνο με τεχνολογικά μέτρα, αλλά και με στρατηγική κατανόηση της απειλής,
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz