【安全资讯】BelialDemon黑客在地下市场销售Matanbuchus恶意软件及服务(MaaS)

猎影实验室 2021-06-17 07:09:16 1347人浏览

2021 年 2 月,BelialDemon黑客在地下市场宣传一种名为 Matanbuchus Loader 的新型恶意软件即服务 (MaaS),并收取2500美元作为初始使用的租金。BelialDemon是多个地下论坛和市场的成员,曾参与恶意软件加载程序的开发,被认为是 Triumph Loader 的主要开发者,并且拥有销售此类恶意软件的经验。目前有几个受 Matanbuchus 影响的组织,其中包括美国的一所大学和高中,以及比利时的一家高科技组织。


Matanbuchus 在恶意软件的运行周期中使用了两个 DLL。两个 DLL 都已打包,但应注意第一个 DLL 的内部名称为MatanbuchusDroper.dll而第二个 DLL 的名称为Matanbuchus.dll。这两个 DLL 都基于 0x10000000,并在整个执行过程中使用硬编码地址。


Matanbuchus 具有以下功能:

  • 1.能够在内存中启动 .exe 或 .dll 文件。
  • 2.能够利用 schtasks.exe 添加或修改任务计划。
  • 3.能够启动自定义 PowerShell 命令。
  • 4.能够利用独立的可执行文件加载 DLL。

研究人员提取了自 2021 年 2 月以来原始恶意域解析到的每个 IP 的所有被动 DNS 解析, IP 和域的连接图如下:


这些域和主题似乎主要用于网络钓鱼,虽然这些域并不与Matanbuchus 恶意软件有关,但它们似乎都是恶意站点,并且可能由同一攻击者操控。其中一些域尚未使用,可能会用于未来的恶意活动。

失陷指标(IOC)38
BelialDemon Matanbuchus MaaS 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。