複数ライセンス割引見積
脅威データベース マルウェア Matanbuchus 3.0 マルウェア

Matanbuchus 3.0 マルウェア

マルウェアMezoまで
翻訳内容:

Matanbuchusは、Cobalt Strikeビーコンやランサムウェアといった次段階のペイロードを配信するために設計された、悪名高いMalware-as-a-Service(MaaS)プラットフォームです。2021年2月にロシア語圏のフォーラムで2,500ドルで初めて宣伝されたこのマルウェアは、瞬く間に脅威アクターの定番ツールとなりました。攻撃者はClickFix型のキャンペーンでMatanbuchusを利用し、正規のウェブサイトでありながら侵害されたウェブサイトを通じてユーザーを騙しています。

配信戦術と進化する脅威ベクトル

マルウェアの拡散手法はますます巧妙化しています。初期のキャンペーンでは、フィッシングメールを多用し、被害者を悪意のあるGoogleドライブのリンクに誘導していました。しかし、時間の経過とともに、攻撃者は以下のような手口を講じるようになりました。

  • 侵害されたサイトからのドライブバイダウンロード
  • 悪意のあるMSIインストーラー
  • マルバタイジングキャンペーン

Matanbuchus は、ランサムウェア感染への踏み台としてよく使用される DanaBot、QakBot、Cobalt Strike などの二次ペイロードを展開することが確認されています。

Matanbuchus 3.0: 高度な機能と特徴

最新版のMatanbuchus 3.0では、ステルス性と持続性を大幅に向上させる大幅な機能強化が導入されています。主なアップグレードは以下の通りです。

  • 高度な通信プロトコル技術
  • ステルスのためのメモリ内実行
  • 検出を回避するための難読化の強化
  • CMD および PowerShell によるリバース シェルのサポート
  • DLL、EXE、シェルコードのペイロードを起動する機能

この進化は、高度な多段階攻撃を促進するマルウェアの役割を強調しています。

現実世界の悪用:Microsoft Teams を介したソーシャルエンジニアリング

研究者らは、2025年7月に匿名の企業を標的としたキャンペーンを発見しました。攻撃者は、社外とのMicrosoft Teams通話中にITヘルプデスク担当者になりすまし、従業員にリモートアクセス用のクイックアシストを起動するよう誘導しました。これにより、Matanbuchusを展開するPowerShellスクリプトを実行できました。

こうした戦術は、以前 Black Basta ランサムウェア グループに関連付けられていたソーシャル エンジニアリングの手法を反映しており、ローダーとランサムウェアの活動の重複が拡大していることを示しています。

内部構造:感染チェーンと持続性

被害者が提供されたスクリプトを実行すると、アーカイブがダウンロードされます。アーカイブの内容は以下の通りです。

  • 名前が変更された Notepad++ アップデータ (GUP)
  • 変更されたXML構成ファイル
  • ローダーを表す悪意のあるDLL

実行後、Matanbuchusはシステムデータを収集し、セキュリティツールの有無を確認し、権限レベルを確認した後、コマンドアンドコントロール(C2)サーバーに詳細情報を送信します。その後、追加のペイロードがMSIパッケージまたは実行ファイルとして配信されます。永続性は、COMオブジェクトを使用してスケジュールされたタスクを作成し、シェルコードを挿入することで実現されます。この手法は、シンプルさと洗練さを兼ね備えています。

ステルスとコントロール:なぜ危険なのか

このローダーは、プロセス、サービス、インストール済みアプリケーションの詳細情報を収集するためのWQLクエリやリモートコマンドなどの高度な機能をサポートしています。regsvr32、rundll32、msiexecなどのシステムコマンドを実行できるほか、プロセスハローイングも実行できるため、その柔軟性が際立っています。

脅威の背後にある価格設定とビジネスモデル

この MaaS プラットフォームは、その機能セットにより価格が急騰しました。

  • HTTPSバージョンは月額10,000ドル
  • DNSバージョンは月額15,000ドル

このようなコストは、サイバー犯罪エコシステムにおけるマルウェアの有効性と需要を反映しています。

マタンブチャスとMaaS進化の全体像

最新バージョンは、LOLBin、COMハイジャック、PowerShellステージャーなどを活用し、検知を逃れようとするステルスファーストローダーのトレンドを象徴しています。Microsoft TeamsやZoomといったコラボレーションツールを悪用することで、企業のセキュリティはさらに複雑化しています。研究者たちは、これらの脅威が進化を続ける中、ローダー検出機能を攻撃対象領域管理に統合することの重要性を強調しています。

トレンド

Gerolaxの暗号通貨詐欺

不正なウェブサイト
デジタル金融が進化を続けるにつれ、それを悪用する詐欺も進化を続けています。サイバー犯罪者は、ソーシャルエンジニアリング、ディープフェイク、そして暗号通貨の分散型の性質を巧妙に利用して不正行為を実行するなど、その手口はますます巧妙化しています。Gerolax Crypto Scamは、合法的な暗号通貨取引プラットフォームを巧妙に偽装した、まさに欺瞞的なスキームの一つです。特にリスクの高い暗号通...

注文詐欺

マルウェア, フィッシング, スパム
デジタル時代において、メールは依然として最も一般的なコミュニケーションツールの一つであると同時に、最も悪用されるツールの一つでもあります。オンラインで蔓延する無数の悪質なメールキャンペーンの中でも、いわゆる「注文依頼詐欺」は、サイバー犯罪者が欺瞞とソーシャルエンジニアリングを駆使してマルウェアを拡散し、被害者のシステムに侵入する手法を如実に示しています。このキャンペーンは、説得力のあるメッセ...

アカウントのパスワードが古いというメール詐欺

フィッシング, スパム
詐欺師たちは、疑いを持たないユーザーを騙して機密情報を入手しようと、欺瞞的なメールキャンペーンを仕掛け続けています。現在蔓延している詐欺の一つに、「緊急セキュリティアラート」を装ったメール詐欺があります。具体的には、「アカウントのパスワードが古い」というタイトルのメッセージを装っています。一見すると正当なメールのように見えますが、これらのメールは詐欺であり、デジタルプライバシーとセキュリティに深刻な脅威をもたらします。この詐欺の仕組みを理解し、その潜在的な被害から身を守る方法を理解することは非常に重要です。 偽の警告が現実の結果をもたらす 詐欺メールは、受信者のメールアカウントのパスワー...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,326
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
46,379
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
45,845
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...