Elite Matanbuchus 3.0 載入器增強勒索軟體感染
網路攻擊者正在使用主動魚叉式網路釣魚和升級的惡意軟體即服務 (MaaS) 載入器來潤滑高價值勒索軟體感染。Matanbuchus 是一款成熟高階的 Malware‑as‑a‑Service(MaaS)載入模組,自 2021 年起透過訂閱形式在暗網販售,主要用於部署勒索軟體等後續攻擊。2025 年推出的 3.0 版本重寫整體架構,導入多項高端功能,使其成為精準定向攻擊的強大工具。
一、載具改進特性
🔍 EDR 偵測逃逸與安全工具識別
Matanbuchus 3.0 可檢查目標端是否安裝如 Microsoft Defender、CrowdStrike、SentinelOne…等主流 EDR/XDR 工具,並根據偵測結果調整攻擊方式,提升繞過率 。
💾 記憶體載入與隱蔽運行
加強腳本和指令執行能力,你能在記憶體中直接執行 EXE/DLL/MSI、Shellcode、PowerShell 等載體,完全避開檔案系統、降低軌跡被偵察的風險 。
🌐 進化版 C2 溝通協定
包含 HTTP 和更隱密的 DNS 隧道版本,後者月費 1.5 萬美元,適用零日阻断防禦與低頻命令傳輸,搭配偽造 Skype 流量,極難識別。
🛠 系統調查及反沙箱機制
3.0 版本使用態勢監控(WQL、CMD、PowerShell)評估系統環境,並動態避開沙箱與虛擬機分析,提升執行成功率 。
二、攻擊流程與社交工程策略
研究指出近期駭客常透過 Microsoft Teams 假冒 IT 支援 進行社交工程,誘導受害者開啟 Windows 的 Quick Assist 功能,再執行 PowerShell 腳本下載載具與偽裝為 。其流程為:
Teams 通話 + Quick Assist 遠端登入
執行 PowerShell 腳本碼
下載夾帶 GUP.exe + libcurl.dll(含惡意指令)
載入 Matanbuchus 3.0 載具
進行系統偵測 → 建立 C2 連線
- 下載勒索軟體或其他次級惡意程式執行
三、風險評估
| 攻擊特性 | 潛在風險與影響 |
|---|
| MaaS 模型 | 門檻低、更新迅速、易於擴散 |
| 高度隱蔽 | 記憶體執行 + 非標通訊遮蔽偵測 |
| 社交工程配合 | Teams、Quick Assist 等可信流程被濫用 |
| 目標導向攻擊 | 精選高價值企業為主攻目標,非大規模散播 |
四、防禦建議與緊急應對
提升使用者警覺:教育員工拒絕「非預期技術支援」請求,啟用 Quick Assist 應先驗證來源。
監控遠端工具使用:在 SIEM、EDR 中偵測 Quick Assist、regsvr32、rundll32、msiexec、異常排程等常見執行行為。
強化載具偵測:部署記憶體掃描工具與 AI 行為分析模型,偵測 Shellcode、DLL 側載、異常記憶體操作。
封鎖 DNS 隧道攻擊:監控非授權 DNS 類型、阻絕未知指令通訊。
即時威脅情報共享:加入 TI 平台,攫取 Morphisec、Dark Reading 所揭露之 IOC(URL、hash、domains)。
- 快速反應與演練:模擬 Matanbuchus 漏洞利用流程,執行封鎖測試與回應機制驗證。
五、結語
Matanbuchus 3.0 代表 MaaS 演進的一大轉捩點,其高擬真社交工程整合、模組化攻擊能力與高價值載具定位,顯示組織面臨的威脅已進入「精準、隱蔽、專注定向」階段。
企業需搭配技術監控(記憶體掃描、通訊分析)、流程控管(遠端工具限制、使用者驗證)、制度建構(SOC/TI 分享、應變演練),才能有效抵擋此類高階攻擊。
資料來源:https://www.darkreading.com/threat-intelligence/matanbuchus-loader-ransomware-infections/