Manuel Statik Analiz — Matanbuchus Loader | Tehdit: YUKSEK

파일 Kimliği

SHA256211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
크기495.640 byte (DLL)
String Sayisi2.172

Meşru Site URL Gizlemesi

Teknik: Whitelist bypass için meşru Notepad++ sitesi URL'si gömülü!
https://notepad-plus-plus.org/0
-- Notepad++ (popüler metin editörü) resmi sitesi
-- Proxy/firewall whitelist'ini bypass etmek için meşru URL görüntüsü

Matanbuchus Hakkında

Matanbuchus, "LolZarus" takma adlı tehdit aktörü tarafından geliştirilen MaaS loader'dır. 2021'den beri aktiftir. Cobalt Strike, IcedID, Qakbot gibi post-exploitation araçları yükler. Anti-analiz ve VM/sandbox tespiti için gelişmiş teknikler kullanır. Dark web forumlarında aylık abonelik şeklinde satılmaktadır.

IOC

SHA256211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
Sahte URLnotepad-plus-plus.org (whitelist bypass)

Matanbuchus — 악성코드 프로필

Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.

악성코드 유형
Loader
프로그래밍 언어
C++
C2 프로토콜
HTTPS
대상 시스템
Windows

기술 세부 정보

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — Matanbuchus
# SHA256 211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
유형메모
sha256 211cea7a5fe12205495640b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
태그
matanbuchusloadernotepad-plus-pluswhitelist-bypassgettickcountlolzarus