2025年7月、セキュリティ企業Morphisecは、マルウェア・アズ・ア・サービス(MaaS)として提供されている「Matanbuchus」マルウェアの最新バージョン「3.0」に関する詳細な脅威分析レポートを公開しました。
特筆すべきは、Microsoft Teamsを介した攻撃が確認された点です。これは、従来のメール経由やドライブバイダウンロードとは一線を画した、企業コミュニケーションの信頼性を逆手に取る新たなサイバー攻撃の手法です。
Matanbuchusとは
Matanbuchusは2021年からその存在が確認されているローダー型マルウェアです。
攻撃者が独自のペイロード(情報窃取ツールやランサムウェアなど)をターゲットのマシンに配布するために利用されます。MaaSとして提供されていることから、多様な攻撃者がこれを購入・使用することで、同一のマルウェアが異なる目的で使われるリスクが高まります。
Matanbuchusの特筆すべき点は、Microsoft ExcelやWindows PowerShellなど、合法的なツールや機能を悪用する点にあります。
また、Cobalt Strike Beaconと組み合わされることで、侵入後のラテラルムーブメント(横展開)や権限昇格などの行動も可能にします。
また、EDRやアンチウイルスソフトを無力化するため、プロセス一覧を取得し、CrowdStrike(csfalconservice.exe)やDefender(msmpeng.exe)など主要なEDR製品の存在を確認します。これにより、検知を回避しながら最適な攻撃手法を選択する「アダプティブ型マルウェア」と言えます。
Microsoft Teamsを装った初動攻撃
Morphisecの調査によれば、攻撃者はITヘルプデスクを装ってMicrosoft Teams上で標的企業の社員にコンタクトを取りました。
通話中に「Quick Assist(Windowsのリモートサポート機能)」を利用してリモート接続を確立し、「スクリプトの実行によって問題を解決する」と称してMatanbuchus Loaderの実行を促しました。
これにより、攻撃者は従業員自身により、悪意あるスクリプトが実行され、感染の初動が完了しました。信頼される社内ツールを装うこの手法は、セキュリティ教育を受けた従業員であっても騙される可能性が高く、ソーシャルエンジニアリングとして警戒すべきポイントです。
COMベースの永続化
Matanbuchus 3.0は、単にスタートアップに登録するだけでなく、Windows COMインターフェースを活用した永続化機構を採用しています。regsvr32の-iスイッチを利用し、DllInstall関数を起動することで、通常の検知から逃れる工夫が施されています。
また、タスクスケジューラをCOM経由で操作し、5分ごとに悪性DLLを呼び出すような「EventLogBackupTask」というタスクも生成されます。
後続の攻撃ステージ
初期感染後、マルウェアはC2サーバへ情報を送信し、被害端末の環境(OSバージョン、管理者権限の有無、インストール済みのEDRなど)をもとに最適な後続攻撃を受け取ります。後続の攻撃手法としては以下が挙げられます。
-
MSIファイルによるインストール
-
プロセスホロウイング(msiexecへのコード注入)
-
rundll32を用いた悪性DLLの実行
-
直接的なPowerShellやCMDコマンドの実行
-
WQLクエリを通じた情報収集
特にWQLクエリによるサービス一覧、インストール済みアプリケーション、ホットフィックス情報の収集は、後続の特権昇格や横展開に活用される恐れがあります。
サプライチェーン管理の重要性
今回の攻撃では、notepad-plus-plu[.]orgという偽サイトを利用し、Notepad++のアップデータに見せかけた「GenericUpdater.exe」と偽のXMLファイルを同梱したZIPファイルが使われました。これは「タイポスクワッティング(Typo-Squatting)」と呼ばれる手法で、正式なドメイン名(notepad-plus-plus.org)に似せた名前でユーザーを騙します。
この手法は特にエンドユーザーのミスに依存するため、ソフトウェアアプリケーションの確認とソフトウェアサプライチェーン管理がますます重要になっています。
参照
https://engage.morphisec.com/hubfs/Matanbuchus%20Threat%20Analysis.pdf








