Teamsの電話機能経由で侵入 マルウェア「Matanbuchus 3.0」 大幅機能強化の詳細：セキュリティニュースアラート

Morphisecは、MaaS型マルウェアローダー「Matanbuchus 3.0」がMicrosoft TeamsやQuick Assistを悪用し、EDR回避や永続化機能を備えて標的型攻撃に使用されていると報告した。

[後藤大地，有限会社オングス]

　Morphisecは2025年7月16日（現地時間）、マルウェアローダー「Matanbuchus 3.0」に関する詳細な技術分析を公表した。このローダーはマルウェア・アズ・ア・サービス（MaaS）として2021年から流通しており、主に「Windows」環境での二次ペイロードのダウンロードおよび実行を目的として利用されている。

Teams経由で配信　大幅に進化したMatanbuchus 3.0機能アップデート

　Morphisecの報告によると、Matanbuchus 3.0は2024年9月以降、標的型攻撃で繰り返し使用されており、ランサムウェアの侵入に至る一連の攻撃の初期段階を担っている可能性がある。攻撃者は「Microsoft Teams」（以下、Teams）の通話機能を利用してITヘルプデスクを装い、「Quick Assist」による遠隔操作で悪意あるスクリプトの実行を促したとされている。

　Matanbuchus 3.0では次のような複数の新機能および改良が実施されている。

• TeamsやQuick Assistによる新たな配信手法
• 通信プロトコルの強化およびステルス性の向上
• メモリ上での実行を意識した難読化や暗号化、回避技術の実装
• WMI Query Language（WQL）クエリやCMD、「PowerShell」リバースシェルのサポート
• EXE／DLL／MSI／シェルコード形式による次段階実行の柔軟性
• 間接的なシステムコールによる検出回避手法
• 最新のEDR製品に対応したデータ収集機能
• 永続化のための新しいCOMベースのレジストリ登録およびタスクスケジューリング手法

　同バージョンは2025年7月7日時点で、HTTP通信対応版が1万ドル、DNS通信対応版が1万5000ドルでダークWeb市場フォーラムで広告されている。ただし、Morphisecは公開前の通信を観測しており、攻撃者らが流通前から使用していた可能性があると報告している。

　Matanbuchus 3.0は圧縮ファイル内に、正規アプリケーション（「Notepad++」のアップデーター）を装った「GenericUpdater.exe」および悪意あるDLL「libcurl.dll」を同梱し、サイドローディングによって不正なコードを実行する構成となっている。更新先のURLは正規のドメイン名「notepad-plus-plus.org」ではなく、類似のサイバースクワッティングによるドメイン「notepad-plus-plu[.]org」が使用されていた。

　ローダーは自身が64bit環境のWOW64で実行されているかどうかを確認し、不正なDLL関数「DllInstall」のエクスポートを通じて処理を開始する。その後、「Salsa20」アルゴリズムを使ってコマンド＆コントロール（C2）通信先ドメイン「nicewk[.]com」を復号した後にシステム環境からシリアルIDを生成し、レジストリーやディレクトリ構造に反映する。収集される情報にはユーザー名やコンピュータ名、ドメイン、OSビルド番号に加え、各種EDR製品のプロセス情報が含まれる。

　C2サーバとの通信は、「Skype」クライアントを装ったHTTP POSTリクエストにより行われ、接続先はポート443を使用する。送信されるデータは暗号化されており、レスポンスによって次段階の動作が決定される。永続化処理ではCOMタスクスケジューリングを使ってタスク「EventLogBackupTask」を登録する。シェルコードによる「ITaskService COM」オブジェクト操作を含む高度な処理が実行され、5分ごとの自動実行が設定される。登録後の実行形式としては、「regsvr32」や「rundll32」、またはmsiexecによるプロセスホローイングが確認されている。

　Morphisecは、Matanbuchus 3.0の高度な機能が、標的システムの構成やセキュリティ対策に応じて柔軟に攻撃方法を変更できることを示しており、攻撃の初期段階において危険性の高い存在と報告している。企業におけるソーシャルエンジニアリング攻撃への対策や、正規アプリケーションを利用したサイドローディング手法への警戒が求められている。