В последние годы киберпреступники активно развивают свои методы проникновения в корпоративные инфраструктуры, используя все более изощренные и скрытные способы доставки вредоносного кода. Одним из самых опасных современных трендов является эксплуатация популярных корпоративных инструментов, таких как Microsoft Teams, для распространения сложных вредоносных программ. Новый вариант загрузчика Matanbuchus 3.0, который недавно был зафиксирован специалистами по кибербезопасности, ярко иллюстрирует эту угрозу и требует повышенного внимания со стороны компаний и ИТ-специалистов. Matanbuchus представляет собой вредоносный загрузчик по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS), способный выступать в роли платформы для дальнейшей загрузки дополнительных инфицирующих компонентов.
Уже с момента своего появления в начале 2021 года он активно распространялся на русскоязычных форумах киберпреступников, где его можно было арендовать примерно за 2 500 долларов США. Однако с тех пор Matanbuchus претерпел существенную эволюцию, значительно расширив функционал и методы скрытного внедрения. Новейшая версия Matanbuchus 3.0 обладает рядом усовершенствований, которыми выделяется на фоне многих других угроз. Он использует сложные протоколы коммуникации и работает преимущественно в памяти зараженного устройства, избегая записи на диск и затрудняя обнаружение антивирусами и средствами защиты.
Вредоносное ПО оснащено мощными средствами обфускации и поддерживает выполнение различных типов вредоносных нагрузок, включая DLL, EXE-файлы и shellcode. Кроме того, загрузчик умеет использовать команды CMD и PowerShell для обратных оболочек, что увеличивает его гибкость и скрытность. Одним из наиболее тревожных аспектов стало выявление методики доставки Matanbuchus 3.0 через внешний вызов Microsoft Teams, который маскировался под IT-поддержку. Злоумышленники целенаправленно связывались с сотрудниками компаний, внушая доверие и предлагая помощь с помощью функции Microsoft Quick Assist.
После запуска удалённого доступа, жертва получала запросы на выполнение PowerShell-скриптов, которые затем развертывали вредоносный загрузчик. Эти социально-инженерные манипуляции напоминают приемы, которые ранее применялись группировками, связанными с Black Basta ransomware, что свидетельствует о профессиональном уровне и координации атак. Важно обратить внимание на инфраструктуру управления и контроля (Command-and-Control, C2), используемую Matanbuchus. После запуска загрузчик собирает разнообразные сведения о системе — информацию о запущенных процессах, статусе привилегий, наличии антивирусных и защитных инструментов. Эти данные отправляются на сервер злоумышленников, которые затем могут разместить на жертве дополнительные вредоносные компоненты — такие как MSI-инсталляторы и исполняемые файлы.
Для сохранения устойчивого присутствия в системе Matanbuchus создает запланированные задачи с помощью механизмов COM-объектов и встраиваемого shellcode, что усложняет его обнаружение и удаление. Руткитные техники и чередование способов внедрения позволяют загрузчику оставаться под радаром, что ставит под угрозу безопасность корпоративных сетей. Цены за использование Matanbuchus 3.0 также свидетельствуют о востребованности и эффективности данного инструмента у киберпреступников. Версия с HTTPS-соединением стоит около 10 000 долларов в месяц, а более продвинутая — с интеграцией DNS-каналов — около 15 000 долларов.
Такая модель позволяет злоумышленникам быстро масштабировать свои атаки, привлекая новых клиентов и сохраняя постоянное обновление вредоносных функций. В контексте массового перехода компаний на удаленную работу и активного использования корпоративных мессенджеров и платформ совместной работы, опасность подобных угроз только возрастает. Microsoft Teams, ставший неотъемлемой частью бизнес-процессов, одновременно превратился в удобный канал для социальных атак и доставки вредоносного ПО. Эксперты советуют повышать осведомленность сотрудников о методах социальной инженерии, тщательно проверять входящие сообщения и звонки, а также внедрять многоуровневые системы безопасности, которые смогут распознавать подозрительную активность даже внутри доверенных приложений. Также крайне важно регулярно обновлять программное обеспечение и использовать поведенческий анализ для выявления аномалий в поведении пользователей и систем.
Обнаружение и блокировка исполнения скриптов PowerShell и CMD, а также мониторинг использования системных утилит (так называемых Living-Off-The-Land Binaries) помогает существенно снизить риски успешного развертывания подобных загрузчиков. Современная киберугроза требует от специалистов по безопасности комплексного подхода, сочетающего технические средства с обучением и проактивным реагированием на инциденты. Инциденты с использованием Matanbuchus 3.0 демонстрируют, как профессионально организованные атаки сочетают технологическую изощренность с тщательно продуманными социальными манипуляциями. Поэтому разработка антикризисных планов реагирования, регулярный аудит безопасности корпоративных коммуникаций и внедрение автоматизированных систем защиты становятся обязательными элементами современных ИТ-инфраструктур.
В заключение можно отметить, что развитие Matanbuchus и подобных инструментов является отражением общей тенденции в мире вредоносного программного обеспечения — максимальная скрытность, адаптивность и использование легитимных бизнес-инструментов для обхода защитных систем. Компании и специалисты по информационной безопасности должны принимать вызовы и своевременно адаптировать свои стратегии, чтобы защитить цифровые активы и репутацию от растущих угроз.
