{"id":226477,"date":"2022-06-27T20:12:40","date_gmt":"2022-06-27T22:12:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-la-campagne-de-logiciels-malveillants-matanbuchus-qui-laisse-tomber-les-balises-cobalt-strike\/"},"modified":"2022-06-27T20:12:41","modified_gmt":"2022-06-27T22:12:41","slug":"des-chercheurs-mettent-en-garde-contre-la-campagne-de-logiciels-malveillants-matanbuchus-qui-laisse-tomber-les-balises-cobalt-strike","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-la-campagne-de-logiciels-malveillants-matanbuchus-qui-laisse-tomber-les-balises-cobalt-strike\/","title":{"rendered":"Des chercheurs mettent en garde contre la campagne de logiciels malveillants &#8220;Matanbuchus&#8221; qui laisse tomber les balises Cobalt Strike"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un malware-as-a-service (Maas) surnomm\u00e9 <strong>Matanbuchus<\/strong> a \u00e9t\u00e9 observ\u00e9 se propageant par le biais de campagnes de phishing, abandonnant finalement le framework de post-exploitation Cobalt Strike sur des machines compromises.<\/p>\n<p>Matanbuchus, comme les autres <a rel=\"nofollow noopener\" href=\"https:\/\/flashpoint.io\/blog\/malware-loaders-continue-to-evolve-proliferate\/\" target=\"_blank\">chargeurs de logiciels malveillants<\/a> tels que BazarLoader, Bumblebee et Colibri, est con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter des ex\u00e9cutables de deuxi\u00e8me \u00e9tape \u00e0 partir de serveurs de commande et de contr\u00f4le (C&amp;C) sur des syst\u00e8mes infect\u00e9s sans d\u00e9tection.<\/p>\n<p>Disponible sur les forums de cybercriminalit\u00e9 russophones au prix de 2 500 $ depuis f\u00e9vrier 2021, le malware est \u00e9quip\u00e9 de capacit\u00e9s pour lancer des fichiers .EXE et .DLL en m\u00e9moire et ex\u00e9cuter des commandes PowerShell arbitraires.<\/p>\n<p>Les conclusions, publi\u00e9es par la soci\u00e9t\u00e9 de renseignements sur les menaces Cyble la semaine derni\u00e8re, documentent la derni\u00e8re cha\u00eene d&#8217;infection associ\u00e9e au chargeur, qui est li\u00e9e \u00e0 un acteur mena\u00e7ant qui se fait appeler BelialDemon.<\/p>\n<p>&#8220;Si nous regardons historiquement, BelialDemon a \u00e9t\u00e9 impliqu\u00e9 dans le d\u00e9veloppement de chargeurs de logiciels malveillants&#8221;, ont d\u00e9clar\u00e9 Jeff White et Kyle Wilhoit, chercheurs de l&#8217;Unit\u00e9 42. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/matanbuchus-malware-as-a-service\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans un rapport de juin 2021.  &#8220;BelialDemon est consid\u00e9r\u00e9 comme le principal d\u00e9veloppeur de <a rel=\"nofollow noopener\" href=\"https:\/\/bazaar.abuse.ch\/browse\/tag\/TriumphLoader\/\" target=\"_blank\">TriumphLoader<\/a>un chargeur d\u00e9j\u00e0 publi\u00e9 sur plusieurs forums, et qui a de l&#8217;exp\u00e9rience dans la vente de ce type de malware.&#8221;<\/p>\n<p>Les e-mails de spam distribuant Matanbuchus sont accompagn\u00e9s d&#8217;une pi\u00e8ce jointe de fichier ZIP contenant un fichier HTML qui, \u00e0 l&#8217;ouverture, d\u00e9code le contenu Base64 int\u00e9gr\u00e9 dans le fichier et d\u00e9pose un autre fichier ZIP sur le syst\u00e8me.<\/p>\n<p>Le fichier d&#8217;archive, \u00e0 son tour, comprend un fichier d&#8217;installation MSI qui affiche un faux message d&#8217;erreur lors de l&#8217;ex\u00e9cution tout en d\u00e9ployant furtivement un fichier DLL (&#8220;main.dll&#8221;) ainsi qu&#8217;en t\u00e9l\u00e9chargeant la m\u00eame biblioth\u00e8que \u00e0 partir d&#8217;un serveur distant (&#8220;telemetrysystemcollection[.]com&#8221;) comme option de secours.<\/p>\n<p>&#8220;La fonction principale des fichiers DLL d\u00e9pos\u00e9s (&#8220;main.dll&#8221;) est d&#8217;agir comme un chargeur et de t\u00e9l\u00e9charger la DLL Matanbuchus r\u00e9elle \u00e0 partir du serveur C&amp;C&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Cyble. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/06\/23\/matanbuchus-loader-resurfaces\/\" target=\"_blank\">a dit<\/a>en plus d&#8217;\u00e9tablir la persistance au moyen d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.qualys.com\/vulnerabilities-threat-research\/2022\/06\/20\/defending-against-scheduled-task-attacks-in-windows-environments\" target=\"_blank\">t\u00e2che planifi\u00e9e<\/a>.<\/p>\n<p>Pour sa part, la charge utile Matanbuchus \u00e9tablit une connexion \u00e0 l&#8217;infrastructure C&amp;C pour r\u00e9cup\u00e9rer les charges utiles de l&#8217;\u00e9tape suivante, dans ce cas, deux balises Cobalt Strike pour l&#8217;activit\u00e9 de suivi.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le d\u00e9veloppement intervient alors que des chercheurs de Fortinet FortiGuard Labs ont d\u00e9voil\u00e9 une nouvelle variante d&#8217;un chargeur de logiciels malveillants appel\u00e9 IceXLoader, programm\u00e9 dans Nim et commercialis\u00e9 sur des forums clandestins.<\/p>\n<p>Dot\u00e9es de capacit\u00e9s pour \u00e9chapper aux logiciels antivirus, les attaques de phishing impliquant IceXLoader ont ouvert la voie \u00e0 DarkCrystal RAT (alias DCRat) et aux mineurs de crypto-monnaie voyous sur des h\u00f4tes Windows pirat\u00e9s.<\/p>\n<p>&#8220;Ce besoin d&#8217;\u00e9chapper aux produits de s\u00e9curit\u00e9 pourrait \u00eatre une raison pour laquelle les d\u00e9veloppeurs ont choisi de passer d&#8217;AutoIt \u00e0 Nim pour IceXLoader version 3&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/new-icexloader-3-0-developers-warm-up-to-nim\" target=\"_blank\">a dit<\/a>.  &#8220;\u00c9tant donn\u00e9 que Nim est un langage relativement rare pour l&#8217;\u00e9criture d&#8217;applications, les acteurs de la menace profitent du manque de concentration sur ce domaine en termes d&#8217;analyse et de d\u00e9tection.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/researchers-warn-of-matanbuchus-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un malware-as-a-service (Maas) surnomm\u00e9 Matanbuchus a \u00e9t\u00e9 observ\u00e9 se propageant par le biais de campagnes de phishing, abandonnant finalement le framework de post-exploitation Cobalt Strike sur des machines compromises. Matanbuchus, comme les autres chargeurs de logiciels malveillants tels que BazarLoader, Bumblebee et Colibri, est con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter des ex\u00e9cutables de deuxi\u00e8me \u00e9tape \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":226478,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[83471,2930,12848,5056,4168,841,4158,4165,4161,133,525,4157,4159,4171,4170,2978,65,4167,4589,4590,83470,3915,4160,4163,4162,364,4172,4169,8544,5899,4166,4164],"class_list":["post-226477","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-balises","tag-campagne","tag-chercheurs","tag-cobalt","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-laisse","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-matanbuchus","tag-mettent","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-qui","tag-securite-informatique","tag-securite-internet","tag-strike","tag-tomber","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/226477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=226477"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/226477\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/226478"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=226477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=226477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=226477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}