fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Matanbuchus: il loader di malware che sfida l’analisi

Sandro Sana : 10 Maggio 2024 08:08

Matanbuchus è un loader di malware, ovvero un programma che scarica ed esegue altri malware sulle macchine infette. Il loader è stato sviluppato da un hacker conosciuto come BelialDemon, che lo vende a un numero limitato di clienti su un forum underground.

Il loader è stato usato in diverse campagne di malspam e di pubblicità ingannevoli per distribuire vari tipi di malware, tra cui ransomware, trojan bancari e backdoor. Una delle principali organizzazioni criminali che usa Matanbuchus è TA577, un affiliato di ransomware noto per aver distribuito QakBot e Cobalt Strike per ottenere l’accesso iniziale e la post-esplorazione delle vittime.

Come funziona Matanbuchus e come si nasconde

Matanbuchus si distingue per le sue tecniche di ofuscamento e di evasione, che rendono difficile l’analisi del suo codice e delle sue comunicazioni di rete. Tra queste tecniche ci sono:

  • Il flusso di controllo ofuscato, che rende il codice illeggibile e impedisce di seguire il normale flusso di esecuzione.
  • Le trappole anti-debug e anti-vm, che rilevano la presenza di strumenti di analisi o di ambienti virtualizzati e terminano il processo.
  • Il risolvimento dinamico delle API, che impedisce di identificare le funzioni di Windows usate dal loader.
  • L’hashing e la cifratura delle stringhe, che nascondono i dati sensibili come gli indirizzi IP e i nomi di dominio.

Prova la Demo di Business Log! L'Adaptive SOC italiano

Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.

Scarica ora la Demo di Business Log per 30gg

Promo Corso CTI

Inoltre, il loader ha la capacità di ricaricarsi scaricando una nuova versione di sé stesso da un server di comando e controllo (C2), e di chiamare una funzione esportata diversa a seconda del metodo di esecuzione. Il loader può essere lanciato tramite il binario control.exe, che è usato per aprire i file del pannello di controllo (.cpl), o tramite il binario regsvr.exe, che è usato per registrare o deregistrare le librerie dinamiche (.dll).

Quali sono i servizi di hosting che ospitano Matanbuchus

Analizzando l’infrastruttura di rete usata dal loader, il team di CTI di Intrinsec ha scoperto che il loader si appoggia a due servizi di hosting bulletproof, ovvero servizi che offrono una maggiore tolleranza verso le attività illecite dei loro clienti. Questi servizi sono “Chang Way Technologies Co. Limited” (AS57523), registrato a Hong Kong ma con server in Russia, e “Proton66 OOO” (AS198953), registrato e con server in Russia. Questi servizi ospitano i domini e gli indirizzi IP usati dal loader per comunicare con i server C2 e per scaricare i payload.

Questi servizi ospitano anche altre attività malevole, tra cui il malware SocGholish, che usa pagine web fasulle per indurre gli utenti a scaricare un falso aggiornamento del browser, e varie pagine di phishing che imitano servizi legittimi come UPS, Chronopost e il sistema sanitario francese Ameli. Inoltre, il team di Intrinsec ha trovato che il nome “Mihail Kolesnikov”, usato per registrare alcuni domini usati da Matanbuchus, è stato usato anche per registrare altri domini legati a diverse minacce, tra cui il ransomware Snatch, il ransomware Hunters International e il malware ICEDID.

Seguendo le attività di questo nome, il team di Intrinsec ha potuto anticipare la creazione di nuovi domini usati per le campagne di Matanbuchus e altre minacce. Bloccando i range di IP appartenenti a questi servizi di hosting bulletproof, si può prevenire l’accesso iniziale e le successive fasi di un’intrusione.

Conclusione

Matanbuchus è un loader di malware molto sofisticato e pericoloso, che può infettare le macchine con diversi tipi di malware, tra cui alcuni molto dannosi come il ransomware. Il loader è anche legato a Cobalt Strike, uno strumento di attacco usato dai criminali per eseguire operazioni avanzate di post-esplorazione e di movimento laterale.

Il loader si appoggia a servizi di hosting bulletproof che lo proteggono dalle azioni delle autorità e dei ricercatori di sicurezza. Per contrastare questa minaccia, è necessario monitorare le sue attività, bloccare le sue comunicazioni e rafforzare le difese delle proprie reti.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT.
Visita il sito web dell'autore

Articoli in evidenza

Anonymous Italia risponde agli attacchi di NoName057(16). Deface contro siti russi!

Negli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...

Windows sotto scacco: scoperta una vulnerabilità che bypassa tutte le attivazioni!

Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...

220$ per entrare nella Polizia di Stato Italiana: l’inquietante offerta di EDRVendor

Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...

NoName057(16) Cancellato da Telegram! Ma subito il “Reborn” Con Attacchi DDoS All’Italia!

I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006