Manuel Statik Analiz (LLM Okumali) — Matanbuchus DLL Loader | Tehdit: YUKSEK

Archivo Kimligi

SHA256211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82
FormatDLL (PE32)
Tamaño495.640 byte
String Sayisi2.172

libcurl HTTP Istemci Kaniti

https://curl.se/              -- libcurl copyright
https://curl.se/docs/copyright.html
-- libcurl statik linkli, HTTPS C2 trafinini gizlemek icin

Sifrelenmis C2 Config Fragmentleri

2.232U2c2s2       -- Sifrelenmis config basligi (UTF-16LE)
1(242C2I2O2T2Z2g2n2  -- C2 config fragment
2'2.242C2L2z2     -- C2 config fragment

Matanbuchus Hakkinda

Matanbuchus, 2021 yilindan beri underground forumlarda MaaS olarak satilan C++ tabanli bir loader ailesidir. Affiliate musteriler istedikleri payloadi kurban sistemlerine yukleme icin kiralayabilir. libcurl kullanarak HTTPS trafinini mesgru gostermesi, ag analizini zorlastirir. Cobalt Strike, BumbleBee ve IcedID yuklemesiyle bilinen kampanyalarda gorulmustir.

IOC

SHA256211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82
ProtokolHTTPS (libcurl statik)
C2Sifrelenmis config

Matanbuchus — Perfil del malware

Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.

Tipo de malware
Loader
Lenguaje de programación
C++
Protocolo C2
HTTPS
Sistemas objetivo
Windows

Detalles técnicos

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capacidades y comportamiento

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Lista IOC (1 indicadores)

IOC — Matanbuchus
# SHA256 211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82
TipoValorNota
sha256 211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82
Etiquetas
matanbuchusdllcurlhttpsmaasloadersifrelenmis-c2