Manuel Statik Analiz — Matanbuchus Loader | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| Größe | 495.640 byte (DLL) |
| String Sayisi | 2.172 |
Meşru Site URL Gizlemesi
Teknik: Whitelist bypass için meşru Notepad++ sitesi URL'si gömülü!
https://notepad-plus-plus.org/0 -- Notepad++ (popüler metin editörü) resmi sitesi -- Proxy/firewall whitelist'ini bypass etmek için meşru URL görüntüsü
Matanbuchus Hakkında
Matanbuchus, "LolZarus" takma adlı tehdit aktörü tarafından geliştirilen MaaS loader'dır. 2021'den beri aktiftir. Cobalt Strike, IcedID, Qakbot gibi post-exploitation araçları yükler. Anti-analiz ve VM/sandbox tespiti için gelişmiş teknikler kullanır. Dark web forumlarında aylık abonelik şeklinde satılmaktadır.
IOC
| SHA256 | 211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| Sahte URL | notepad-plus-plus.org (whitelist bypass) |
Matanbuchus — Malware-Profil
Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.
Malware-Typ
Loader
Programmiersprache
C++
C2-Protokoll
HTTPS
Zielsysteme
Windows
Technische Details
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — Matanbuchus
# SHA256
211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |