【安全资讯】BelialDemon黑客在地下市场销售Matanbuchus恶意软件及服务(MaaS)
2021 年 2 月,BelialDemon黑客在地下市场宣传一种名为 Matanbuchus Loader 的新型恶意软件即服务 (MaaS),并收取2500美元作为初始使用的租金。BelialDemon是多个地下论坛和市场的成员,曾参与恶意软件加载程序的开发,被认为是 Triumph Loader 的主要开发者,并且拥有销售此类恶意软件的经验。目前有几个受 Matanbuchus 影响的组织,其中包括美国的一所大学和高中,以及比利时的一家高科技组织。
Matanbuchus 在恶意软件的运行周期中使用了两个 DLL。两个 DLL 都已打包,但应注意第一个 DLL 的内部名称为MatanbuchusDroper.dll而第二个 DLL 的名称为Matanbuchus.dll。这两个 DLL 都基于 0x10000000,并在整个执行过程中使用硬编码地址。
Matanbuchus 具有以下功能:
- 1.能够在内存中启动 .exe 或 .dll 文件。
- 2.能够利用 schtasks.exe 添加或修改任务计划。
- 3.能够启动自定义 PowerShell 命令。
- 4.能够利用独立的可执行文件加载 DLL。
研究人员提取了自 2021 年 2 月以来原始恶意域解析到的每个 IP 的所有被动 DNS 解析, IP 和域的连接图如下:
这些域和主题似乎主要用于网络钓鱼,虽然这些域并不与Matanbuchus 恶意软件有关,但它们似乎都是恶意站点,并且可能由同一攻击者操控。其中一些域尚未使用,可能会用于未来的恶意活动。
失陷指标(IOC)38
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享