СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:39
#ИБ

Возрождение ClickFix: Matanbuchus 3.0 и AstarionRAT атакуют

В феврале 2026 года команда Huntress Tactical Response зафиксировала возобновление активности метода заражения ClickFix — социальной инженерии, принуждающей пользователей выполнять вредоносные команды. По итогам расследования стало ясно, что ClickFix оставался важным каналом первоначального доступа в 2025 году и вновь используется как киберпреступниками, так и state‑sponsored actors.

ClickFix «превращает пользователей в невольных распространителей вредоносного ПО», обходя привычные протоколы безопасности.

Краткая схема атаки

Исследователи описывают следующую упрощённую цепочку компрометации:

  • Эксплуатация социальной инженерии с помощью ClickFix — получение от пользователя запуска вредоносных подсказок или установочных пакетов.
  • Доставка загрузчика Matanbuchus 3.0, использующего автоматические установки MSI и компонент DLL с именем SystemStatus.dll.
  • Matanbuchus разворачивает AstarionRAT, который обеспечивает удалённый доступ, кражу учетных данных, создание прокси SOCKS5 и выполнение отражающего кода.
  • Коммуникации C2 маскируются под телеметрию приложения и шифруются с использованием RSA.

Ключевые технические находки

  • Комбинация ClickFix + Matanbuchus 3.0. Matanbuchus вернулся после паузы в мае 2025 года; он действует как загрузчик и стартует с DLL-компонента SystemStatus.dll.
  • Использование легитимных инструментов. В ходе инцидента злоумышленники применяли Zillya Antivirus для DLL Sideloading и PsExec для латерального перемещения — приём, позволяющий смешать вредоносную активность с законными путями Windows и снизить вероятность обнаружения.
  • Быстрая эскалация привилегий и распространение. По данным расследования, злоумышленники добирались до контроллеров домена менее чем за 40 минут после первоначального доступа.
  • Механизмы Matanbuchus:
    • старт с SystemStatus.dll;
    • расшифровка методом грубой силы для извлечения шеллкода;
    • выполнение кода в памяти и на диске;
    • встроенный интерпретатор Lua 5.4.7 для сложных команд;
    • запутывание двоичного файла бессмысленным кодом для усложнения анализа;
    • отцепка системных библиотек DLL для обхода EDR/MDR и прямого вызова API.
  • AstarionRAT: функционально мощный RAT с возможностями кражи учетных данных, создания SOCKS5‑прокси, управления файлами и процессами, выполнения отражающего кода и кодирования конфигурации/метаданных для запутывания анализа.
  • Скрытые C2‑коммуникации. Трафик маскируется под «безопасную» телеметрию и дополнительно шифруется RSA, что усложняет обнаружение и расшифровку обмена командами.

Техника уклонения от обнаружения

Аналитики выявили несколько механизмов, направленных на долгосрочное сохранение контроля над системами и избегание детекции:

  • отцепка необходимых системных DLL, чтобы обходить средства защиты конечной точки;
  • заполнение бинарников «мусорным» кодом для затруднения статического анализа;
  • выполнение полезной нагрузки через отражающий PE‑loader с распаковкой и самопроверкой перед запуском;
  • использование легитимных установщиков (MSI) и доверенных бинарников для sideloading;
  • маскировка C2 как нормальной телеметрии и шифрование с помощью RSA.

Почему это опасно

Сочетание социальной инженерии и продвинутых технических приёмов делает такую кампанию особенно эффективной. ClickFix затрагивает человеческий фактор, Matanbuchus и AstarionRAT — техническую сторону: быстрый lateral movement, модульная архитектура загрузчика и маскировка трафика затрудняют обнаружение и реагирование. В результате злоумышленники получают полный контроль над инфраструктурой за счёт минимизации триггеров защиты.

Рекомендации по защите

  • усилить обучение сотрудников против целевых social engineering‑кампаний (ClickFix и подобные методы);
  • ограничить права на запуск MSI и контроль за установками через политики групп (GPO);
  • внедрить контроль целостности бинарников и мониторинг необычных цепочек загрузки (DLL Sideloading);
  • ограничить и логировать использование админских инструментов типа PsExec и иных удалённых средств администрирования;
  • усилить мониторинг сетевого трафика на предмет аномалий, в том числе трафика, маскирующегося под телеметрию;
  • внедрить многофакторную аутентификацию и мониторинг попыток кражи учетных данных.

Вывод

Инцидент, зафиксированный Huntress Tactical Response, демонстрирует эволюцию многоуровневых атак, где социальная инженерия и продвинутые загрузчики работают в связке для быстрого получения и закрепления доступа. Современные кампании, объединяющие ClickFix, Matanbuchus 3.0 и AstarionRAT, подчёркивают необходимость комплексного подхода к безопасности: технологические средства защиты должны дополняться постоянным обучением персонала и тщательным контролем легитимных инструментов управления системой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: