Peneliti Peringatkan Kampanye Malware ‘Matanbuchus’ Menjatuhkan Cobalt Strike Beacons

Peneliti Peringatkan Kampanye Malware 'Matanbuchus' Menjatuhkan Cobalt Strike Beacons

Malware-as-a-service (Maas) dijuluki matanbuchus telah diamati menyebar melalui kampanye phishing, yang pada akhirnya menjatuhkan kerangka kerja pasca-eksploitasi Cobalt Strike pada mesin yang disusupi.

Matanbuchus, seperti pemuat malware lainnya seperti BazarLoader, Bumblebee, dan Colibri, direkayasa untuk mengunduh dan menjalankan executable tahap kedua dari server command-and-control (C&C) pada sistem yang terinfeksi tanpa terdeteksi.

Tersedia di forum kejahatan dunia maya berbahasa Rusia dengan harga $2.500 sejak Februari 2021, malware ini dilengkapi dengan kemampuan untuk meluncurkan file .EXE dan .DLL dalam memori dan menjalankan perintah PowerShell yang sewenang-wenang.

Temuan tersebut, dirilis oleh perusahaan intelijen ancaman Cyble minggu lalu, mendokumentasikan rantai infeksi terbaru yang terkait dengan pemuat, yang terkait dengan aktor ancaman yang menggunakan moniker online BelialDemon.

“Jika kita melihat secara historis, BelialDemon telah terlibat dalam pengembangan pemuat malware,” kata peneliti Unit 42 Jeff White dan Kyle Wilhoit dalam laporan Juni 2021. “BelialDemon dianggap sebagai pengembang utama TriumphLoader, pemuat yang sebelumnya diposting di beberapa forum, dan memiliki pengalaman menjual malware jenis ini.”

Email spam yang mendistribusikan Matanbuchus datang dengan lampiran file ZIP yang berisi file HTML yang, setelah dibuka, memecahkan kode konten Base64 yang tertanam dalam file dan menjatuhkan file ZIP lain ke sistem.

File arsip, pada gilirannya, termasuk file penginstal MSI yang menampilkan pesan kesalahan palsu saat dieksekusi saat secara diam-diam menyebarkan file DLL (“main.dll”) serta mengunduh perpustakaan yang sama dari server jarak jauh (“telemetrysystemcollection[.]com”) sebagai opsi mundur.

Related Post :   Candiru Spyware Tertangkap Mengeksploitasi Google Chrome Zero-Day untuk Menargetkan Jurnalis

“Fungsi utama dari file DLL yang dijatuhkan (‘main.dll’) adalah untuk bertindak sebagai loader dan mengunduh DLL Matanbuchus yang sebenarnya dari server C&C,” kata peneliti Cyble, selain membangun kegigihan melalui tugas yang dijadwalkan.

Untuk bagiannya, payload Matanbuchus membuat koneksi ke infrastruktur C&C untuk mengambil payload tahap berikutnya, dalam hal ini, dua Cobalt Strike Beacon untuk aktivitas lanjutan.

Keamanan cyber

Perkembangan ini terjadi saat para peneliti dari Fortinet FortiGuard Labs mengungkapkan varian baru pemuat malware bernama IceXLoader yang diprogram di Nim dan dipasarkan untuk dijual di forum bawah tanah.

Menampilkan kemampuan untuk menghindari perangkat lunak antivirus, serangan phishing yang melibatkan IceXLoader telah membuka jalan bagi DarkCrystal RAT (alias DCRat) dan penambang cryptocurrency jahat pada host Windows yang diretas.

“Kebutuhan untuk menghindari produk keamanan ini bisa menjadi alasan para pengembang memilih untuk beralih dari AutoIt ke Nim untuk IceXLoader versi 3,” kata para peneliti. “Karena Nim adalah bahasa yang relatif tidak umum untuk aplikasi yang akan ditulis, pelaku ancaman memanfaatkan kurangnya fokus pada area ini dalam hal analisis dan deteksi.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.