はじめに:巧妙化するMatanbuchusマルウェアの脅威
2020年からMaaS(Malware-as-a-Service)として流通しているC++ベースの悪意あるダウンローダー「Matanbuchus」が、その防御回避能力を著しく進化させています。当初はセカンドステージペイロードのシンプルなローダーとして知られていましたが、現在ではランサムウェア攻撃とも深く結びつく柔軟なバックドアプラットフォームへと変貌を遂げています。
特に、2025年7月に確認されたバージョン3.0では、コンポーネントの再設計、より強力な難読化、そしてC2(コマンド&コントロール)通信に新しいProtocol Buffers(Protobuf)を使用するなどの特徴が見られます。Matanbuchusはダウンローダーモジュールとメインモジュールの2つの中核コンポーネントで構成されており、これにより攻撃者は追加ペイロードの展開、永続性の維持、シェルコマンドを介したハンズオンキーボード操作が可能となっています。その絶え間ない進化とコンポーネントの変更は、従来のアンチウイルスや静的検出ソリューションによる追跡を困難にしています。
攻撃手法:ソーシャルエンジニアリングとWindowsツールの悪用
Zscaler ThreatLabzの分析によると、最近の攻撃では自動化された配信チェーンだけでなく、ソーシャルエンジニアリングとWindowsに組み込まれたツールを組み合わせてMatanbuchusを手動で展開する手法が確認されています。
- 攻撃は、MicrosoftのQuick Assistリモートサポート機能の悪用から始まることが典型的です。
- 被害者を説得してアクセスを許可させることで、攻撃者は標的システム上でインタラクティブなセッションを獲得します。
- その後、コマンドラインを使用して、侵害されたドメイン(例:
gpa-cro[.]com)から悪意のあるMSIインストーラーをダウンロード・実行します。 - このMSIは
HRUpdate.exeという実行ファイルをドロップし、これがDLLサイドローディングに悪用されます。 - サイドロードされたDLLがMatanbuchusのダウンローダーモジュールであり、これが
HRUpdate.exeプロセスにロードされると、ハードコードされたC2 URL(例:mechiraz[.]com/cart/checkout/files/update_info.aspx)からメインモジュールを取得します。
ThreatLabzは、これらの侵入チェーンが最終的に被害者環境内での完全なランサムウェア展開につながる可能性が高いと中程度の確信をもって評価しています。
難読化と分析妨害技術
Matanbuchus 3.0は、難読化と分析妨害に大きく投資しており、静的および自動検出を困難にしています。
- ChaCha20暗号化: ダウンローダーモジュールとメインモジュールの両方で、文字列はChaCha20ストリーム暗号を使用して暗号化された形式で保存されます。暗号化された文字列と、各文字列のインデックスおよびサイズを記述する2つの配列が使用されます。
- 動的なAPI解決: Windows APIを直接インポートする代わりに、MatanbuchusはMurmurHashアルゴリズムを使用して関数を動的に解決します。これにより、バイナリ内に明確に読み取れるインポートが表示されず、エンドポイントセキュリティ製品の一般的なヒューリスティックを回避します。
- ジャンクコードとビジーループ: コードはジャンク命令と長時間実行される「ビジーループ」で乱雑にされており、実際の悪意のある活動を数分間遅延させます。これにより、分析時間の短いサンドボックスシステムがその挙動を見逃す可能性が高まります。
- シェルコードの復号: ダウンローダーモジュールは、メインモジュールを取得および実行する役割を担う、埋め込み式の暗号化されたシェルコードを隠蔽しています。これは、既知の平文攻撃をブルートフォースで実行し、整数値
99999999から下方へ繰り返し、特定のキーとノンスでシェルコードを復号します。
これらのジャンクコード、ランタイム復号、および実行遅延の組み合わせにより、Matanbuchusは多くの自動検出ワークフローをすり抜けることができます。
C2通信と永続性メカニズム
バージョン3.0では、C2通信にProtobufシリアル化されたデータが導入されており、各パケットには暗号化されたProtobuf構造の前にランダムなキーとノンスが付加されます。リクエストIDは、ボットの登録、タスクの取得、タスク結果の報告などのアクションを定義します。
メインモジュールは、登録後にC2からシェルコードをダウンロードして実行することで永続性を確立します。
- Matanbuchusは、侵害されたホストをC2サーバーに登録した後、サーバーからタスクセットを要求します。
- このシェルコードは、「Update Tracker Task」という名前のスケジュールされたタスクを作成し、
msiexec.exeを起動して、APPDATA下のランダムに生成されたディレクトリ内のMatanbuchusバイナリを指す-zパラメータを渡します。 - 直接実行、プロセスインジェクション(頻繁に
msiexec.exeへ)、インメモリ.NETローディングをサポートし、CMD、PowerShell、またはWMIを介して任意のシステムコマンドを実行できます。 - ディレクトリ名はディスクのボリュームシリアル番号から導出され、マルウェアはこの名前に基づくミューテックスを使用して、インスタンスが1つだけ実行されるようにします。
設定データは、ChaCha20に依存する暗号化されたブロブに保存されます。これにはC2 URL、キャンペーンID、および分析対策として使用される有効期限が含まれます。
ペイロードと攻撃への影響
登録後、マルウェアは、広範な実行技術を使用して、EXE、DLL、MSI、シェルコード、およびZIPでパッケージ化されたペイロードをダウンロードおよび実行できます。最近のキャンペーンでは、MatanbuchusはRhadamanthysインフォスティーラーやNetSupport RATの展開に使用されており、そのハンズオンキーボード型のランサムウェア侵入での使用が増加していることは、金銭目的の脅威アクターにとって優先される初期アクセスおよび制御ツールへと進化していることを示しています。
侵害の痕跡(IOCs)
Matanbuchusマルウェアに関連する主要な侵害の痕跡(IOCs)は以下の通りです。
- SHA256ハッシュ:
92a2e2a124a106af33993828fb0d4cdffd9dac8790169774d672c30747769455(Matanbuchus MSIパッケージ)6246801035e053df2053b2dc28f4e76e3595fb62fdd02b5a50d9a2ed3796b153(DLLサイドローディングに使用される正規実行ファイル HRUpdate.exe)3ac90c071d143c3240974618d395fa3c5228904c8bf0a89a49f8c01cd7777421(Matanbuchusダウンローダーモジュール)77a53dc757fdf381d3906ab256b74ad3cdb7628261c58a62bcc9c6ca605307ba(Matanbuchusメインモジュール)
- C2サーバーURL:
gpa-cro[.]com(悪意のあるMSIファイルのURL)mechiraz[.]com(Matanbuchus C2サーバー)