مخترقو الإنترنت يستغلون Microsoft Teams لنشر برنامج التحميل الخفي Matanbuchus 3.0 المتطور

حذر باحثو الأمن السيبراني من ظهور نسخة جديدة من برنامج التحميل الخبيث المعروف باسم Matanbuchus، والذي يتطور بشكل ملحوظ ليصبح أكثر قدرة على التمويه وتجنب الكشف. يستخدم هذا البرنامج كخدمة (MaaS) لنشر برمجيات ضارة لاحقة، مثل إشارات Cobalt Strike وبرمجيات الفدية.

كيف يتم نشر Matanbuchus 3.0؟

تم الإعلان عن هذا البرنامج لأول مرة في فبراير 2021 عبر منتديات الجريمة الإلكترونية الناطقة بالروسية، وكان سعر استئجاره الشهري حوالي 2500 دولار. تختلف طرق نشره عن البرامج الخبيثة التقليدية، حيث يعتمد بشكل كبير على الهندسة الاجتماعية المباشرة بدلاً من البريد العشوائي أو التحميل التلقائي.

في واقعة حديثة، استغل المهاجمون مكالمات Microsoft Teams مزيفة تدعي أنها من قسم الدعم الفني، لخداع الموظفين لتشغيل أداة Quick Assist، ومن ثم تنفيذ سكريبت PowerShell قام بتنزيل Matanbuchus.

ميزات الإصدار 3.0 المتقدمة

يتضمن Matanbuchus 3.0 عدة تحسينات تقنية، منها:

• بروتوكولات اتصال محسنة

• قدرات تشغيل في الذاكرة دون كتابة ملفات على القرص

• تقنيات تمويه متقدمة

• دعم للاتصال العكسي عبر CMD وPowerShell

• القدرة على تشغيل ملفات DLL وEXE والسكريبتات المعقدة

  اقرأ أيضًا...

  • شركة Intuitive Surgical تعرض تقنية الجراحة عن بُعد عبر روبوت da Vinci 5 في مؤتمر الجراحة الروبوتية
  • شركة King تخفض حوالي 200 وظيفة وسط تحول داخلي كبير واستخدام متزايد للذكاء الاصطناعي
  • تطبيق Beeper للمراسلة يعيد الإطلاق بنموذج أكثر أمانًا وميزات مدفوعة جديدة
  • هل أصبح الذكاء الاصطناعي قادرًا على فهم المشاعر والانتماءات السياسية والسخرية كما يفعل البشر؟
  • لماذا توقفت عن مشاهدة YouTube على التلفاز والهاتف وانتقلت للكمبيوتر؟

كما يجمع البرنامج معلومات النظام ويفحص العمليات الجارية للتحقق من وجود أدوات حماية، ويرسل البيانات إلى خادم التحكم (C2) لتحميل البرمجيات الإضافية.

تقنيات التمويه والاستمرارية

يستخدم البرنامج مهارات متقدمة لإنشاء مهام مجدولة عبر استخدام COM وحقن شيفرة برمجية (shellcode) لتثبيت نفسه في النظام مع البقاء مخفيًا عن أدوات الحماية.

كما يمكن لخادم التحكم إصدار أوامر عن بُعد لجمع معلومات العمليات والخدمات والتطبيقات المثبتة على الجهاز المخترق.

خطر كبير ومتزايد

صرح مايكل غورليك، كبير مسؤولي التقنية في شركة Morphisec:

“يعتبر Matanbuchus 3.0 تهديدًا معقدًا يستخدم تقنيات متطورة للبقاء خفيًا وتنفيذ هجمات متعددة، مما يجعله خطرًا كبيرًا على الأنظمة المخترقة.”

الاتجاهات المستقبلية

تظهر هذه البرمجيات ضمن اتجاه أوسع لاعتماد برامج تحميل خبيثة تركز على التمويه من خلال استغلال أدوات النظام الأصلية (LOLBins)، وحقن الكائنات COM، واستخدام PowerShell كوسيط هجوم. كما تتزايد الهجمات التي تستغل أدوات التعاون المؤسسي مثل Microsoft Teams وZoom.

المصدر:- The Hacker News