Sikkerhedsforskere ved Kaspersky Labs opdagede for nylig en ny malware-ramme, som de kaldte MATA. Forskerne mener, at MATA-rammen er knyttet til Lazarus APT-gruppen.
MATA-rammen indeholder flere komponenter, inklusive læsser, Orchestrator, og plugins, og er i stand til at målrette mod Windows, Linux og macOS. Det er en skildring af, hvor hurtigt trusselaktører tilpasser deres angrebsstrategier i overensstemmelse med den voksende kompleksitet i IT- og OT-miljøerne.
Ifølge rapporten, de første artefakter relateret til MATA blev brugt omkring april 2018. Efter at, trusselaktøren bag rammen anvendte den aggressivt til at infiltrere virksomhedsenheder over hele verden. Efter en analyse baseret på Kasperskys telemetri, teamet definerede med succes formålet med MATA.
Windows-versionen af MATA Framework
forskerne’ telemetri viser, at trusselaktøren benyttede en loader-malware til at indlæse en krypteret nyttelast i næste trin.
“Vi er ikke sikre på, at den indlæste nyttelast er orchestrator-malware, men næsten alle ofre har læsseren og orkestratoren på den samme maskine,” forskerne forklarede.
Hvad angår plugins, orkestratoren kan indlæse 15 plugins samtidigt ind 3 forskellige veje:
Download plugin fra den specificerede HTTP- eller HTTPS-server
Indlæs den AES-krypterede plugin-fil fra en specificeret disksti
Download plugin-filen fra den aktuelle MataNet-forbindelse
Kryptering
Navnet på rammen kommer fra det navn, som de ondsindede aktører bruger til at kalde hele infrastrukturen – MataNet. TLS1.2-forbindelser bruges til skjult kommunikation, sammen med open opens-biblioteket “openssl-1.1.0f”, statisk forbundet i dette modul.
Derudover, trafikken mellem MataNet-noder er krypteret med en tilfældig RC4-sessionstast. MataNet implementerer både klient- og servertilstand. I servertilstand indlæses certifikatfilen “c_2910.cls” og den private nøglefil “k_3872.cls” til TLS-kryptering. Men, denne tilstand bruges aldrig.
Ikke-Windows-versioner af MATA Framework
Forskerne opdagede også en anden pakke, der indeholdt andre MATA-filer kombineret med et sæt hackingværktøjer. Denne pakke boede på et legitimt distributionssite, hvilket sandsynligvis er den måde, hvor malware spredtes.
Pakken indeholdt en Windows MATA-orkestrator, et Linux-værktøj til liste af mapper, scripts til at udforske Atlassian Confluence Server via sårbarheden CVE-2019-3396, et legitimt socat-værktøj, og en Linux-version af MATA-orkestratoren bundtet med plugins.
Forskerne stødte også på malware designet til at målrette macOS. Malware blev uploadet til VirusTotal den april 8, 2020. “Den ondsindede Apple Disk Image-fil er et trojaniseret macOS-program baseret på en open source tofaktor-godkendelsesapplikation ved navn MinaOTP,” hedder det i rapporten.
Lazarus Hacking Group
I december 2019, en ny macOS Trojan blev afsløret, som sandsynligvis blev udviklet af Lazarus-hacking-gruppen. Malware blev analyseret af Patrick Wardle. Wardles analyse viste, at malware havde et script efter installation, der installerede vip.unioncrypto.plist-startdemon for at opnå vedholdenhed.
Den Lazarus hacking gruppe menes at være i drift fra Nordkorea og har været kendt for at planlægge kunstfærdige kampagner mod højt profilerede mål. Deres første angreb var mod sydkoreanske institutioner bruger distribuerede denial-of-service-angreb sikkerhedskopiere i 2009 og 2012.
Gruppen er kendt for at bruge store netværk af botnetknudepunkter. I de fleste tilfælde, disse netværk er lavet af hakede computere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: