恶意软件进化路径
网络安全研究员Brad Duncan于2022年6月监测到该恶意软件的迭代版本,该版本曾通过大规模垃圾邮件活动传播Cobalt Strike信标。而最新的3.0版本则转向更具迷惑性的攻击媒介——滥用微软Teams通信平台实施定向攻击。
攻击手法揭秘
攻击者伪装成IT服务人员,通过外部Teams会话联系受害者。其核心策略是诱导用户启动Windows系统内置的远程协作工具Quick Assist。一旦建立交互式连接,攻击者即操纵受害者执行特定PowerShell脚本,进而下载含恶意加载器的ZIP压缩包。该压缩包包含三个文件,通过DLL侧加载技术激活Matanbuchus恶意程序。
技术升级与逃避手段
新版恶意软件进行了三项关键升级:
1. 通信加密从RC4转为Salsa20算法,增强C2服务器通信及字符串混淆能力
2. 采用内存驻留技术执行恶意负载,避免文件落地
3. 新增反沙盒检测机制,确保仅针对真实用户环境发起攻击
深度系统渗透能力
通过生成定制化shellcode实施系统调用,成功绕开Windows API封装层及端点检测响应(EDR)工具的监控钩子。同时采用非加密哈希函数MurmurHash3混淆API调用,大幅增加逆向工程和静态分析难度。
数据窃取与后续攻击
感染成功后具备多形态载荷执行能力,可运行CMD指令、PowerShell脚本及EXE/DLL/MSI文件。其数据窃取范围覆盖:
• 用户账户名与域信息
• 操作系统详细版本
• 终端安全软件(EDR/AV)进程列表
• 当前进程权限级别(管理员/普通用户)
恶意软件溯源
该威胁最早于2021年在暗网以“恶意软件即服务”(MaaS)模式出现,初始售价2500美元。其设计始终贯彻无文件攻击理念,能够直接在内存中执行恶意代码规避检测,本次3.0版本进一步强化了攻击规避与持久化能力。
相关资讯
