【安全资讯】BelialDemon黑客在地下市场销售Matanbuchus恶意软件及服务(MaaS)

2021 年 2 月，BelialDemon黑客在地下市场宣传一种名为 Matanbuchus Loader 的新型恶意软件即服务 (MaaS)，并收取2500美元作为初始使用的租金。BelialDemon是多个地下论坛和市场的成员，曾参与恶意软件加载程序的开发，被认为是 Triumph Loader 的主要开发者，并且拥有销售此类恶意软件的经验。目前有几个受 Matanbuchus 影响的组织，其中包括美国的一所大学和高中，以及比利时的一家高科技组织。

Matanbuchus 在恶意软件的运行周期中使用了两个 DLL。两个 DLL 都已打包，但应注意第一个 DLL 的内部名称为MatanbuchusDroper.dll而第二个 DLL 的名称为Matanbuchus.dll。这两个 DLL 都基于 0x10000000，并在整个执行过程中使用硬编码地址。

Matanbuchus 具有以下功能：

• 1.能够在内存中启动 .exe 或 .dll 文件。
• 2.能够利用 schtasks.exe 添加或修改任务计划。
• 3.能够启动自定义 PowerShell 命令。
• 4.能够利用独立的可执行文件加载 DLL。
• 
  

研究人员提取了自 2021 年 2 月以来原始恶意域解析到的每个 IP 的所有被动 DNS 解析， IP 和域的连接图如下：

这些域和主题似乎主要用于网络钓鱼，虽然这些域并不与Matanbuchus 恶意软件有关，但它们似乎都是恶意站点，并且可能由同一攻击者操控。其中一些域尚未使用，可能会用于未来的恶意活动。