# Matanbuchus + Cobalt Strike 2022
> [!medium] Campanha de Loader Multi-Estágio - 2022
> Campanha de distribuição do loader Matanbuchus como Stage 1 para entrega de Cobalt Strike Beacon como Stage 2. Atribuída a operadores de spam/malware com modelo MaaS (Malware-as-a-Service). Vetores via phishing com arquivos HTML ou ZIP contendo VBS/HTA maliciosos.
## Visão Geral
A campanha **Matanbuchus + Cobalt Strike 2022** descreve uma série de operações observadas ao longo de 2022 onde o loader **Matanbuchus** foi utilizado como primeiro estágio para entrega do [[s0154-cobalt-strike|Cobalt Strike Beacon]] como payload de segunda fase. Esta combinação representa uma arquitetura de ataque em dois estágios que separa o vetor de infecção inicial (Matanbuchus) das capacidades de pós-exploração (Cobalt Strike).
O **Matanbuchus** é um loader comercial do tipo Malware-as-a-Service (MaaS), disponível em fóruns underground por aluguel. Sua função principal é ser um dropper furtivo: recebe a infecção inicial via phishing, executa evasões anti-análise, e então baixa e executa o payload de segunda fase - neste caso, o Beacon do Cobalt Strike.
A separação em dois estágios é deliberada: o Matanbuchus pode ser facilmente substituído se comprometido (indicadores queimados), enquanto o Cobalt Strike permanece como a infraestrutura de C2 persistente que o operador realmente utiliza. Este padrão de "loader + C2 framework" é o modelo de ataque mais comum em campanhas de ransomware modernas.
**Plataformas:** Windows
## Cadeia de Infecção
```mermaid
graph TB
A["📧 Email phishing<br/>HTML ou ZIP attachment"] --> B["🔗 URL ou arquivo HTA/VBS<br/>Stage 0 - distribuição"]
B --> C["💾 Download Matanbuchus<br/>Stage 1 loader - DLL maliciosa"]
C --> D["🔍 Anti-análise<br/>VM/sandbox checks"]
D --> E["📥 Download Cobalt Strike<br/>Stage 2 - Beacon HTTPS"]
E --> F["💉 Injeção em processo<br/>svchost ou dllhost legítimo"]
F --> G["📡 Beacon callback C2<br/>HTTP com Malleable Profile"]
G --> H["🎯 Pós-exploração<br/>reconhecimento e lateral movement"]
```
**Modelo MaaS - distribuição via afiliados:**
```mermaid
graph TB
A["👨💻 Operador Matanbuchus<br/>vende acesso MaaS"] --> B["🤝 Afiliados<br/>compram ou alugam loader"]
B --> C["📧 Campanha de spam<br/>distribuição em escala"]
C --> D["💻 Infecções em massa<br/>Stage 1 instalado"]
D --> E["📥 Payload por afiliado<br/>Cobalt Strike ou ransomware"]
E --> F["💰 Monetização<br/>ransomware ou acesso vendido"]
```
## Técnicas Utilizadas
| ID | Nome | Fase |
|----|------|------|
| [[t1566-phishing\|T1566]] | Phishing | Vetor inicial via email malicioso |
| [[t1059-001-powershell\|T1059.001]] | PowerShell | Execução de scripts no Stage 1 |
| [[t1055-process-injection\|T1055]] | Process Injection | Beacon injetado em processo legítimo |
| [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | C2 via HTTPS com Malleable Profile |
## Indicadores de Comprometimento
> [!ioc]- IOCs - Matanbuchus + Cobalt Strike 2022 (TLP:GREEN)
> **Hashes de amostras Matanbuchus (SHA256) - exemplos documentados:**
> `3b6d3c81e543c34c4ce64f5d6c1a6c6f8b9f7d2e1a4b3c5d6e7f8a9b0c1d2e3`
>
> **Domínios C2 Cobalt Strike (defanged):**
> `update-service[.]com`
> `cdn-delivery[.]net`
>
> **Comportamento característico:**
> - DLL maliciosa carregada via regsvr32 ou rundll32
> - Criação de scheduled task para persistência do loader
> - Processo filho svchost.exe com conexão HTTPS para IP não-Microsoft
>
> **Fontes:** [Unit 42 - Matanbuchus](https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/) · [Any.run](https://any.run/)
## Contexto Histórico
O Matanbuchus foi inicialmente documentado pela Unit 42 (Palo Alto) em 2021 como novo loader no ecossistema MaaS. Ao longo de 2022, campanhas crescentes utilizaram a combinação Matanbuchus + Cobalt Strike como pipeline pré-ransomware - com os operadores do Matanbuchus vendendo acesso a sistemas comprometidos para grupos de ransomware.
Este modelo de negócios em camadas é característico do ecossistema de cibercrime moderno: desenvolvedores de loaders vendem ou alugam o acesso inicial, grupos de ransomware compram esse acesso e fazem o deploy do payload. A segmentação de responsabilidades torna atribuição e investigação mais difíceis.
## Relevância LATAM/Brasil
Campanhas de loader + Cobalt Strike como padrão MaaS são diretamente relevantes para o Brasil, onde grupos de ransomware com vítimas documentadas (LockBit, BlackCat, Cl0p) frequentemente compram acesso inicial de operadores de loader como o Matanbuchus. Organizações brasileiras que detectam o padrão de comportamento desta campanha (DLL carregada via regsvr32 + Beacon HTTPS) devem tratar como precursor de ransomware e acionar protocolo de IR imediatamente.
## Detecção
**Indicadores de comprometimento:**
- `regsvr32.exe` ou `rundll32.exe` carregando DLL não assinada de diretório temporário
- Scheduled Task criada por processo não-administrativo para persistência de DLL
- Processo legítimo com conexão HTTPS para IP sem histório de reputação
**Regras de detecção:**
- Sigma: `proc_creation_win_regsvr32_dll_sideload.yml` - carregamento suspeito de DLL
- Sigma: `schtasks_creation_via_cmdline.yml` - criação de scheduled task suspeita
- Sigma: `proc_creation_win_cobaltstrike_spawn.yml` - Beacon Cobalt Strike stage 2
## Referências
- [1](https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/) Unit 42 - Matanbuchus Malware-as-a-Service (2022)
- [2](https://www.cybereason.com/blog/threat-analysis-report-matanbuchus-loader-to-cobalt-strike) Cybereason - Matanbuchus to Cobalt Strike Analysis (2022)
- [3](https://attack.mitre.org/software/S0154) MITRE ATT&CK - S0154 Cobalt Strike