Microsoft Teamsの音声通話が悪用され、Matanbuchusマルウェアが拡散

Matanbuchusマルウェアローダーが、ITヘルプデスクを装ったMicrosoft Teams通話によるソーシャルエンジニアリングを通じて配布されていることが確認されています。

Matanbuchusは、2021年初頭にダークウェブで宣伝され始めたマルウェア・アズ・ア・サービス（MaaS）型の攻撃手法です。2,500ドルで販売され、悪意のあるペイロードをメモリ上で直接実行することで検知を回避します。

2022年6月、脅威アナリストのBrad Duncan氏が報告したところによると、このマルウェアローダーは大規模なマルスパムキャンペーンでCobalt Strikeビーコンの配布に利用されていました。

エンドポイント脅威防止企業Morphisecの研究者は、Matanbuchusの最新バージョンには、回避、難読化、侵害後の機能が強化されていることを発見しました。

Microsoft Teamsの悪用

Microsoft Teamsは、ここ数年、ソーシャルエンジニアリングを利用して初期段階のマルウェアを配布するために組織への侵入手段として悪用されています。

通常、攻撃者はチャットに侵入し、ユーザーを騙して悪意のあるファイルをダウンロードさせ、それによってシステムに初期ペイロードを導入します。

2023年には、研究者が専用ツールを作成し、ソフトウェアのバグを悪用して外部アカウントからマルウェアを配布できるようにしました。

昨年は、DarkGateマルウェアの運用者が、緩い「外部アクセス」設定を利用しているターゲットに対し、Microsoft Teamsを悪用してローダーを配布しました。

Morphisecによると、最新のMatanbuchusバージョン3.0の運用者も、初期アクセス手段としてMicrosoft Teamsを好んで利用しているとのことです。

攻撃者は外部からMicrosoft Teams通話を開始し、正規のITヘルプデスクを装ってターゲットにWindowsに標準搭載されているリモートサポートツール「クイックアシスト」を起動させます。

クイックアシストにより、攻撃者は対話型のリモートアクセスを取得し、続けてユーザーにPowerShellスクリプトの実行を指示します。

このスクリプトは、3つのファイルが含まれるZIPアーカイブをダウンロード・展開し、DLLサイドローディングを通じてデバイス上でMatanbuchusローダーを起動します。

Matanbuchus 3.0

Morphisecの報告によると、Matanbuchus 3.0にはいくつかの新機能と強化が導入されています。開発者はコマンド＆コントロール（C2）通信および文字列難読化方式をRC4からSalsa20に切り替えました。

ペイロードは現在メモリ上で起動され、新たにアンチサンドボックス検証ルーチンが追加され、マルウェアが定義されたロケールでのみ実行されるようになっています。

Windows API関数を呼び出す代わりに、マルウェアはカスタムシェルコードを介してシステムコールを実行し、Windows APIラッパーやEDRフックを回避して、セキュリティツールによく監視される動作を隠します。

APIコールはさらに「MurmurHash3」という非暗号化ハッシュ関数を使用して難読化されており、リバースエンジニアリングや静的解析をより困難にしています。

Matanbuchus 3.0の感染後の機能としては、CMDコマンド、PowerShell、またはEXE、DLL、MSI、シェルコードペイロードの実行が可能です。

このマルウェアは、ユーザー名、ドメイン、OSビルド情報、稼働中のEDR/AVプロセス、プロセスの権限（管理者か通常ユーザーか）などの情報を収集します。

Morphisecの分析によると、マルウェアは稼働中のプロセスをチェックしてシステム上のセキュリティツールを特定し、C2から返される実行方法は「被害者の現在のセキュリティスタックに依存している可能性が高い」と指摘しています。

研究者らはマルウェアの詳細な技術分析を公開しており、Matanbuchusが「高度な脅威へと進化した」と述べています。

また、マルウェアのサンプルや使用されたドメインなど、侵害の指標（IoC）も提供しています。