Вредоносное ПО Matanbuchus, впервые замеченное в 2020 году, претерпело значительную эволюцию. Новая версия — Matanbuchus 3.0, обнаруженная в июле 2025 года — функционирует как MaaS (вредоносное ПО как услуга) и демонстрирует возрастание сложности и актуальности угрозы: загрузчик не только доставляет дополнительные полезные нагрузки, но и поддерживает выполнение команд оболочки и взаимодействие с операторами через C2.
Краткое описание и роль в современных операциях
Matanbuchus предлагается злоумышленникам в виде MaaS и используется в ряде операций, включая кампании, связанные с программами-вымогателями. Архитектура вредоноса опирается на два ключевых модуля — загрузчик и основной модуль — взаимодействующие через зашифрованный шелл-код и сетевой обмен.
Архитектура и ключевые компоненты
- Два модуля: модуль загрузки (loader) и основной модуль. Загрузчик встраивает зашифрованный шелл-код, который облегчает выполнение основного модуля.
- Сериализация сообщений: в версии 3.0 реализовано использование Protobufs для сериализации сетевых сообщений.
- Реализация C2: взаимодействие с сервером управления (C2) используется для загрузки шелл-кода и команд.
Методы запутывания и обхода обнаружения
Matanbuchus 3.0 включает множество техник, направленных на уклонение от средств безопасности и усложнение анализа:
- вставка junk code;
- хранение и использование зашифрованных строк;
- разрешение функций Windows API по их хэш-значениям (анализатору сложнее сопоставить вызовы с известными API);
- защиты от анализа: жестко заданная дата истечения срока действия, механизмы закрепления через запланированные задачи;
- цикл «занято» в модуле загрузки, который продлевает функциональность на несколько минут после выполнения — механизм, эффективно противодействующий классическим поведенческим песочницам с коротким тайм-аутом.
Особенности работы с шелл-кодом и криптография
Зашифрованный шелл-код — центральный элемент механики Matanbuchus:
- шифрование/дешифрование использует ChaCha20;
- расшифровка реализована как атака с известным открытым текстом с методом перебора (brute-force), где ключ ChaCha20 выводится из жестко заданного значения и сгенерированного целого числа;
- вредоносное ПО сравнивает расшифрованный вывод с предопределённой последовательностью, что указывает на высокую степень сложности проверок целостности и контроля корректности расшифровки.
Закрепление в системе и поддержание присутствия
Для сохранения контроля над скомпрометированным хостом Matanbuchus выполняет следующий набор действий:
- получает шелл-код с сервера C2 и выполняет его для установки на хост;
- генерирует новый путь к файлу для шелл-кода;
- создаёт запланированную задачу с обозначением «Задача отслеживания обновлений», чтобы сохранять присутствие в среде и препятствовать удалению;
- основной модуль хранит конфигурацию в зашифрованном виде; при выполнении конфигурация расшифровывается с использованием ChaCha20, причём первые байты содержат ключ дешифрования и одноразовый номер (nonce).
«Задача отслеживания обновлений»
Название запланированной задачи использовано для маскировки вредоносной активности под легитимные операции по обновлению — распространённая тактика для снижения подозрительности как у администраторов, так и у автоматических средств мониторинга.
Последствия и оперативная значимость
Связь Matanbuchus с операциями программ-вымогателей подчёркивает его практическую полезность для киберпреступных групп: гибкость загрузчика, надёжное закрепление и сложные методы обхода обнаружения делают его привлекательной платформой для распространения дополнительных полезных нагрузок и дальнейшей эскалации угрозы.
Рекомендации по защите
- контролировать и анализировать создание новых запланированных задач, особенно с названиями, имитирующими системные службы или обновления;
- обратить внимание на процессы, которые выполняют необычные сетевые операции с использованием сериализованных форматов (в том числе Protobufs), если это нетипично для среды;
- отслеживать признаки разрешения API по хэшам и наличие большого объёма вставленного junk code — индикаторы обфускации;
- учитывать, что поведенческий анализу препятствуют техники продления работы процесса (цикл «занято») и жёстко заданные сроки жизни: использовать разнообразные тестовые сценарии с увеличенной продолжительностью и симуляцией различных окружений;
- проверять целостность и происхождение выполняемых бинарников и шелл-кода, а также мониторить необычное создание файловых путей и динамическую генерацию путей выполнения.
Вывод
Matanbuchus 3.0 — яркий пример того, как современные загрузчики развиваются в сторону модульности, обфускации и устойчивости к анализу. Его использование в кампанях с программами-вымогателями делает угрозу реальной и требующей пристального внимания специалистов по защите: сочетание криптографических приёмов, механизмов закрепления и сетевых протоколов сериализации создаёт сложную для обнаружения платформу, требующую комплексных мер мониторинга и реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Matanbuchus 3.0: эволюция загрузчика MaaS с Protobufs и ChaCha20".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.