はじめに:Matanbuchusダウンローダーの脅威
脅威アクターは、Matanbuchus(マタンブクス)悪意のあるダウンローダーを、ハンズオンキーボード型ランサムウェア攻撃の主要な手段として悪用しています。このマルウェアは、バックドアのような機能を利用して、二次的なペイロードを送り込み、ネットワーク内で横展開し、侵害されたシステムへの長期間の永続的なアクセスを維持するために使われています。
Matanbuchusは2020年に初めて確認され、MaaS(Malware-as-a-Service)として提供されてきました。その後着実に進化を遂げ、2025年7月にはバージョン3.0が確認され、より洗練されたネットワークシリアライゼーションおよび暗号化機能が導入されています。
Matanbuchusの技術的概要と進化
MatanbuchusはC++で記述されており、主にダウンローダーおよびバックドアとして機能し、追加のペイロードをフェッチして実行するように設計されています。このマルウェアは、専用のダウンローダーモジュールとメインモジュールの2つの主要なコンポーネントで構成されています。ダウンローダーがメインモジュールを取得して起動し、メインモジュールは柔軟なコマンド&コントロール(C2)フレームワークを提供します。これにより、脅威アクターは、メモリ内でバイナリ、スクリプト、シェルコード、さらには.NETペイロードを実行できます。
この柔軟性により、Matanbuchusは、信頼性の高い初期アクセスツールと侵害後の制御を求めるランサムウェアオペレーターにとって、ますます魅力的な存在となっています。
最近の攻撃キャンペーンと侵入手口
Zscaler ThreatLabzによって観測された最近の活動では、攻撃者がMicrosoftのQuickAssistをソーシャルエンジニアリングと組み合わせて使用し、被害者システムへのリモートアクセスを確立したキャンペーンが明らかになりました。アクセスが確立されると、脅威アクターは侵害されたドメインから悪意のあるMicrosoft Installer(MSI)パッケージを実行し、悪意のあるDLLをサイドロードする実行可能ファイルを送り込みました。このDLLがMatanbuchusダウンローダーとして機能し、リモートC2エンドポイントからメインモジュールを取得しました。ThreatLabzは、これらの行動が広範なランサムウェア展開チェーンの一部であると中程度の確信を持って評価しています。
高度な回避・永続化メカニズム
Matanbuchusは、検出を回避し、リバースエンジニアリングを妨害するために、広範な難読化およびアンチ分析メカニズムを採用しています。
- 文字列は暗号化された形式で保存され、ChaCha20ストリーム暗号を使用して実行時に復号化されます。
- Windows API関数は、MurmurHashベースのハッシュによって動的に解決されます。
- コードベースには、静的分析を妨害するためにジャンク命令が散りばめられています。
- ダウンローダーは、典型的なサンドボックスのタイムアウトを過ぎて実行を遅延させるために、長時間実行される「ビジーループ」も組み込んでいます。
ネットワーク通信も強化されています。ダウンローダーには、埋め込まれた暗号化されたシェルコードが含まれており、これはデクリメントする整数シードから構築されたChaCha20キーに対する総当たり攻撃(既知平文攻撃)によって復号化されます。バージョン3.0では、MatanbuchusはProtocol Buffers(Protobufs)を採用し、C2メッセージをシリアライズしています。これにより、暗号化されたProtobufデータが、各リクエストごとにランダムなキーとノンスを先頭に追加するカスタムパケットにラップされます。
展開後、メインモジュールはC2サーバーに侵害されたホストを登録し、ホスト名、ユーザー名、Windowsバージョンとドメイン、インストールされているセキュリティ製品(EDR、XDRソリューションなど)、OSアーキテクチャ、特権レベルを含むホストおよびユーザー情報を外部に送信します。
さらに、登録状態を追跡するために現在のユーザーハイブの下にレジストリマーカーを書き込み、「Update Tracker Task」というスケジュールされたタスクを作成するC2配信シェルコードを実行して永続化を確立します。このタスクは、システムのボリュームシリアル番号に紐付けられたAPPDATAフォルダー内のユニークに生成されたディレクトリに保存されたマルウェアのランダムな名前のコピーを指すパラメータでmsiexec.exeを起動します。
多機能バックドアとしての能力と関連マルウェア
Matanbuchusはそこから、フル機能のバックドアとして動作します。EXE、DLL、MSIパッケージ、シェルコードのダウンロードと実行、プロセス、サービス、ソフトウェア、Windowsアップデートの列挙、CMD、PowerShell、WMIを介したシステムコマンドの実行、さらには自己終了コマンドをサポートしています。
ThreatLabzは、MatanbuchusがRhadamanthys情報窃取マルウェアやNetSupport RATを配布するために使用されたキャンペーンも文書化しており、その汎用的な配信プラットフォームとしての役割を強調しています。観測されたハンズオンキーボード活動とランサムウェアのアフィリエイトとの関連性の高まりと相まって、Matanbuchusは、複雑な侵入および恐喝活動の障壁を大幅に下げる、成熟し進化するMaaS機能を表しています。
侵害インジケーター(IOCs)
以下は、Matanbuchusダウンローダーに関連する侵害インジケーター(IOCs)です。
- SHA256 Hash:
92a2e2a124a106af33993828fb0d4cdffd9dac8790169774d672c30747769455(Matanbuchus MSI package) - SHA256 Hash:
6246801035e053df2053b2dc28f4e76e3595fb62fdd02b5a50d9a2ed3796b153(Legitimate executable file (HRUpdate.exe) used for sideloading the downloader module) - SHA256 Hash:
3ac90c071d143c3240974618d395fa3c5228904c8bf0a89a49f8c01cd7777421(Matanbuchus downloader module) - SHA256 Hash:
77a53dc757fdf381d3906ab256b74ad3cdb7628261c58a62bcc9c6ca605307ba(Matanbuchus main module) - URL:
gpa-cro[.]com(URL of malicious MSI file) - C2 Server:
mechiraz[.]com(Matanbuchus C2 server)