2025年7月17日時点で、マルウェアローダー「Matanbuchus 3.0」による高度なサイバー攻撃が活発化している。
開発者BelialDemonが2021年2月からダークウェブでMaaS(Malware-as-a-Service)として提供し、当初の月額2,500ドルから現在はHTTPS通信対応版が10,000ドル、DNS通信対応版が15,000ドルに値上げされた。
2024年9月に遡ってみてみると、Microsoft Teamsを悪用したITヘルプデスク詐欺により、米国と欧州の不動産・金融業界の企業を標的とした攻撃が確認されている。攻撃者はQuick Assistを使用してリモートアクセスを確保し、PowerShellスクリプトでMatanbuchusを展開する。
このマルウェアは、Microsoft、CrowdStrike、SentinelOne、Sophos、Trellix、Cortex、BitDefender、ESET、Symantecなどの主要EDR/XDR製品を検出し、COM操作による高度なタスクスケジューリングとWQLクエリ実行機能を持つ。最終的なペイロードはCobalt Strike、DanaBot、Qakbot、Black Bastaランサムウェアなどである。
From: 
Elite ‘Matanbuchus 3.0’ Loader Spruces Up Ransomware Infections
【編集部解説】
サイバー犯罪の経済モデル進化
Matanbuchus 3.0の価格設定の変遷は、サイバー犯罪市場の成熟を物語っています。2021年の月額2,500ドルから現在の最大15,000ドルへの値上げは、単なる価格上昇ではなく、攻撃の精度と成功率の向上を反映したものです。
この「プレミアム化」により、攻撃者はより選別された高価値ターゲットに集中するようになり、結果として企業が直面するリスクの質が根本的に変化しています。無差別攻撃から精密な標的型攻撃へのシフトは、防御側にとって新たな挑戦となっています。
Microsoft Teamsエコシステムの脆弱性
Microsoft Teamsの外部ドメインからの接続を許可するデフォルト設定が、攻撃者に悪用されている実態が明らかになっています。Storm-1811やSTAC5143、STAC5777といった複数の脅威グループが、同様の手法を採用していることから、この攻撃手法の有効性が証明されています。
リモートワーク環境の普及により、従業員がIT部門からのTeams通話を疑問視しにくい状況が生まれており、攻撃者はこの心理的な盲点を巧妙に利用しています。Quick Assistという正規ツールの悪用は、従来のセキュリティ境界を無効化する新たな脅威となっています。
技術的な高度化と回避技術
Matanbuchus 3.0の技術的特徴は、現代のサイバー脅威の進化レベルを示しています。COM操作による高度なタスクスケジューリング、WQLクエリ実行、PowerShellリバースシェル対応など、正規のシステム機能を巧妙に悪用する手法が確立されています。
特に注目すべきは、主要なEDR/XDR製品を含むセキュリティツールを検出・回避する機能を持つことです。これは、攻撃者が防御側の能力を詳細に分析し、それに対応した回避技術を開発していることを示しています。
攻撃チェーンの多様化
検索結果から、Matanbuchusが単一の攻撃手法に依存せず、複数の配信メカニズムを持つことが判明しました。Google広告を悪用した偽の資金請求サイト、HTMLファイルを使用したクリップボード攻撃、Excel VBAマクロによる配信など、多様な初期感染経路が確認されています。
この多様性により、企業は単一の防御策では対応が困難な状況に直面しており、包括的なセキュリティ戦略の必要性が高まっています。
ランサムウェアエコシステムとの連携
Matanbuchusの最終ペイロードには、Cobalt Strike、DanaBot、Qakbot、Black Bastaランサムウェアなどが含まれており、これらは全て組織的なランサムウェア攻撃の前段階として機能しています。
この連携により、初期感染からランサムウェア展開までの時間が大幅に短縮され、企業の対応時間が限定的になっています。FIN7、Sangria Tempest、Carbon Spiderなどの既知の脅威グループとの関連性も指摘されており、サイバー犯罪組織間の協力関係が深化していることが伺えます。
規制・対策への影響
Microsoft Office 365のデフォルト設定が攻撃に悪用されている現状は、プラットフォーム提供者の責任とユーザー企業の設定管理の重要性を浮き彫りにしています。
Sophosの報告によると、過去3ヶ月間で15件以上の類似事件が発生し、そのうち半数が直近2週間に集中していることから、この攻撃手法の拡散速度が加速していることが懸念されます。
将来展望と対策の方向性
Matanbuchus 3.0の成功は、他の脅威アクターにとって「成功モデル」として機能する可能性があります。高価格・高品質のマルウェアサービスの標準化により、サイバー脅威の全体的なレベルが底上げされることが予想されます。
企業は、技術的対策だけでなく、従業員教育、プロセス改善、インシデント対応計画の見直しを含む包括的なセキュリティ戦略の構築が不可欠となっています。
【用語解説】
MaaS(Malware-as-a-Service)
マルウェアをサブスクリプション形式で提供するサイバー犯罪のビジネスモデル。開発者が月額料金で高度なマルウェアツールを提供し、技術的知識の乏しい犯罪者でも高度な攻撃を実行可能にする。
BelialDemon
Matanbuchusの開発者が使用するハンドルネーム。聖書の悪魔ベリアルに由来し、2021年2月からロシア語圏のサイバー犯罪フォーラムで活動している。
Storm-1811
Microsoftが追跡するサイバー脅威グループの識別名。Microsoft Teamsを悪用した企業への侵入を専門とし、最終的にランサムウェアの展開を目的としている。
STAC5143/STAC5777
Sophosが追跡する2つの脅威グループの識別名。両グループともMicrosoft Teamsを悪用した類似の攻撃手法を使用し、STAC5143はFIN7との関連が疑われている。
COM操作
Component Object Modelの略称。Windowsのプログラム間通信機能を悪用して、正規のタスクスケジューラーを操作し、マルウェアの永続性を確保する高度な技術。
DLL側面読み込み(DLL Side-loading)
正規のアプリケーションが悪意のあるDLLを読み込むよう仕向ける攻撃手法。Matanbuchusでは、正規のMicrosoft製実行ファイルを悪用して検出を回避する。
WQL(Windows Management Instrumentation Query Language)
Windowsシステムの管理情報を取得するためのクエリ言語。攻撃者はこれを使用してシステム情報の収集や設定変更を行う。
Black Basta
2022年に登場したランサムウェアグループ。企業ネットワークへの侵入後、データを暗号化し、身代金と引き換えに復号キーを要求する。
FIN7
金融業界を主要標的とする組織的なサイバー犯罪グループ。Carbanak、Sangria Tempest、Carbon Spiderとも呼ばれ、長期間にわたって活動を継続している。
【参考リンク】
Morphisec(外部)
Moving Target Defense技術を用いたエンドポイントセキュリティ企業。Matanbuchus 3.0の攻撃キャンペーンを最初に発見・分析
eSentire(外部)
マネージドセキュリティサービスプロバイダー。2024年5月からMatanbuchusの活動増加を監視し、詳細な脅威分析を提供
Palo Alto Networks Unit 42(外部)
サイバー脅威研究チーム。Matanbuchusの開発者BelialDemonの背景と悪魔的テーマについて詳細な調査を実施
Sophos(外部)
エンタープライズサイバーセキュリティ企業。Microsoft Teamsを悪用したランサムウェア攻撃の詳細な事例分析を提供
Darktrace(外部)
AI駆動型サイバーセキュリティ企業。Microsoft Teamsフィッシング攻撃の検出・防御ソリューションを提供
Proofpoint(外部)
エンタープライズサイバーセキュリティ企業。クリップボード攻撃やPowerShellスクリプト悪用の脅威分析を実施
【参考記事】
Hackers Leverage Microsoft Teams to Spread Matanbuchus 3.0 Malware Loader(外部)
2025年7月16日公開。Matanbuchus 3.0の最新技術的特徴と、Microsoft Teamsを悪用した攻撃手法の詳細分析
Sophos MDR tracks two ransomware campaigns using email bombing Microsoft Teams vishing(外部)
2025年1月21日公開。STAC5143とSTAC5777による組織的なMicrosoft Teams悪用攻撃の詳細事例を分析
Matanbuchus: Malware-as-a-Service with Demonic Intentions(外部)
2024年6月6日公開。開発者BelialDemonの背景と聖書的テーマの採用、技術的な内部構造の詳細分析
Matanbuchus Malware – eSentire Security Advisory(外部)
2024年6月12日公開。2024年5月からの活動増加傾向とGoogle広告を悪用した配信手法の分析
How to Protect your Organization Against Microsoft Teams Phishing Attacks(外部)
2025年4月18日公開。Microsoft Teamsフィッシング攻撃の防御戦略と、Midnight Blizzard、Storm-0324の攻撃事例分析
Clipboard to Compromise: PowerShell Script Self-Pwn(外部)
2024年7月29日公開。TA571によるクリップボード攻撃とPowerShellスクリプト悪用の詳細分析
【編集部後記】
今回のMatanbuchus 3.0の事案は、私たちの日常業務で使用するMicrosoft Teamsが攻撃の入り口となり得ることを示しています。皆さんの職場では、外部からの「IT部門」を名乗る突然の通話に対して、どのような確認プロセスを設けていますか?特に興味深いのは、攻撃者が月額15,000ドルという高額投資を行ってまで標的を絞り込んでいる点です。これは、私たちが思っている以上に企業の持つデータや業務継続性に価値があることを物語っています。また、過去3ヶ月で15件以上の類似攻撃が発生し、その半数が直近2週間に集中しているという事実は、この脅威が急速に拡散していることを示しています。皆さんの組織では、リモートアクセスツールの使用に関してどのような社内ルールを設けていますか?ぜひ、職場のセキュリティ体制や、実際に遭遇した怪しい通話の体験などをSNSでシェアしていただければと思います。
