研究人员警告“Matanbuchus”恶意软件活动掉落钴打击信标
恶意软件即服务(Maas)被称为已观察到通过网络钓鱼活动传播,最终在受损机器上放弃钴打击后开发框架。
Matanbuchus与BazarLoader、Bumblebee和Colibri等其他恶意软件加载程序一样,设计用于从受感染系统上的命令与控制(C&C)服务器下载和执行第二阶段可执行文件,而无需检测。
自2021 2月起,该恶意软件可在俄语网络安全犯罪论坛上以2500美元的价格发布,并具备启动功能。EXE和。DLL文件并运行任意PowerShell命令。
威胁情报公司Cyble上周发布的调查结果记录了与加载器相关的最新感染链,该病毒与网络绰号BelialDemon的威胁行为人有关。
42单元的研究人员杰夫·怀特和凯尔·威尔霍伊特在2021 6月的一份报告中指出:“从历史上看,BelialDemon参与了恶意软件加载程序的开发。”。“BelialDemon被认为是VictoryLoader的主要开发人员,该loader之前曾在多个论坛上发布过,并且有销售此类恶意软件的经验。”
分发Matanbuchus的垃圾邮件附带一个ZIP文件附件,其中包含一个HTML文件,打开后,该文件会解码嵌入文件中的Base64内容,并在系统上放置另一个ZIP文件。
归档文件又包括一个MSI安装程序文件,该文件在执行时显示一条假错误消息,同时秘密部署DLL文件(“main.DLL”)以及从远程服务器下载相同的库(“telemetrysystemcollection[.]com”)作为备用选项。
Cyble的研究人员说:“丢弃的DLL文件('main.DLL')的主要功能是充当加载程序,从C&C服务器下载实际的Matanbuchus DLL”,此外,还通过计划任务建立持久性。
就其而言,Matanbuchus有效载荷建立了与C&;C检索下一阶段有效载荷的基础设施,在本例中,两个钴打击信标用于后续活动。
Fortinet FortiGuard实验室的研究人员披露了一种新的恶意软件加载程序,名为IceXLoader,它在Nim中编程,正在地下论坛上销售。
研究人员说:“对于IceXLoader版本3,开发人员之所以选择从AutoIt过渡到Nim,可能是因为他们需要规避安全产品。”。“由于Nim对于编写应用程序来说是一种相对少见的语言,因此威胁参与者利用了在分析和检测方面对这一领域缺乏关注的优势。”
