![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科微软 Teams 语音通话遭恶意劫持,Matanbuchus 3.0 入侵企业网络](https://www.anquan114.com/wp-content/uploads/2024/03/20240313131755581-image-1024x370.png)
网络安全研究人员发现,恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话,诱骗目标启动Windows内置的远程工具快速助手(Quick Assist),随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包,内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。
Matanbuchus恶意即服务(MaaS)背景
该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广,是可直接在内存中执行恶意载荷的Windows加载器,旨在规避安全检测。2022年6月,威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击,分发Cobalt Strike信标。
技术演进:Matanbuchus 3.0新特性
终端防护公司Morphisec分析指出,3.0版本具备显著增强的隐匿与攻击能力:
- 通信协议升级:C2通信与字符串混淆从RC4加密更换为Salsa20算法
- 内存规避技术:所有载荷均在内存中启动,消除磁盘痕迹
- 反沙盒检测:新增区域验证机制,确保仅在指定地理区域运行
- 系统调用隐匿:通过自定义shellcode执行系统调用,绕过Windows API包装层及EDR监控钩子
- 静态分析对抗:使用MurmurHash3非加密哈希函数混淆API调用,增加逆向工程难度
攻击链与后期能力
- 信息收集:获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态(管理员/普通用户)
- 载荷执行:支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷
- 自适应攻击:C2服务器根据受害者安全环境动态调整攻击方式
Microsoft Teams滥用趋势
该协作工具近年频遭攻击者滥用:
- 2023年:研究人员利用软件漏洞实现外部账号恶意投递
- 2024年:DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器
- 当前:Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容