Matanbuchus 3.0 Unleashes AstarionRAT via ClickFix Social Engineering and Silent MSI Installs

概要

Matanbuchus 3.0は、ClickFixソーシャルエンジニアリングと静的なMSIインストールを組み合わせた精密な侵入チェーンを通じてAstarionRATを展開しています。この攻撃は、単なるペイロード配信ではなく、マルウェアがより高度でステルス性の高い多段階操作へと進化していることを示しています。

攻撃チェーン

ClickFix感染：

ユーザーにローカルコンソールにコマンドをコピー＆ペーストするよう誘導し、msiexec.exeを使用して静的なMSIパッケージをインストールします。

MSIのダウンロード：

偽装されたドメインからMSIファイルをダウンロードし、ユーザーが警告を見ないようUIを非表示にします。

ファイル展開：

「セキュリティ製品」ディレクトリに偽装されたファイルを配置し、合法的なバイナリと悪意のあるDLLを混在させます。

Matanbuchus 3.0の特徴

高度なステルス機能：

API呼び出しや条件分岐で偽装し、解析を困難にします。
すべての敏感文字列はChaCha20暗号化され、必要に応じて復号されます。

AstarionRAT：

フル機能のリモートアクセストロイアング（RAT）で、ファイル管理やプロセス制御などの24種類のコマンドをサポートします。

C2通信とインフラストラクチャ

HTTPプロファイル：

企業内のトラフィックに溶け込むように設計されています。

インジケーターオブコムpromise（IOC）：

C2ドメインやダウンロードパス、インストールパスなどがリストアップされています。

元記事: https://gbhackers.com/matanbuchus-3-0-unleashes-astarionrat/

サイバーニュース.jp

Matanbuchus 3.0 Unleashes AstarionRAT via ClickFix Social Engineering and Silent MSI Installs

概要

攻撃チェーン

Matanbuchus 3.0の特徴

C2通信とインフラストラクチャ

投稿をさらに読み込む

サイバーカルテル、アトラシアンクラウドを悪用して詐欺投資を推奨するスパムキャンペーンを展開

ロシア、4月1日から全国規模でTelegramのアクセスを遮断

ワシントンホテル、日本でランサムウェア攻撃を受ける

Matanbuchus 3.0 Unleashes AstarionRAT via ClickFix Social Engineering and Silent MSI Installs