Sicherheitsforscher von Kaspersky Labs haben kürzlich ein neues Malware-Framework entdeckt, das sie MATA nennen. Die Forscher glauben, dass das MATA-Framework mit der Lazarus APT-Gruppe verbunden ist.
Das MATA-Framework enthält mehrere Komponenten, einschließlich Lader, Orchestrator, und Plugins, und kann auf Windows abzielen, Linux und MacOS. Es zeigt, wie schnell Bedrohungsakteure ihre Angriffsstrategien im Einklang mit der sich entwickelnden Komplexität der IT- und OT-Umgebungen anpassen.
Nach der Bericht, Die ersten Artefakte im Zusammenhang mit MATA wurden um den April herum verwendet 2018. Danach, Der Bedrohungsakteur hinter dem Framework nutzte es aggressiv, um Unternehmen auf der ganzen Welt zu infiltrieren. Nach einer Analyse basierend auf Kasperskys Telemetrie, Das Team hat den Zweck von MATA erfolgreich definiert.
Die Windows-Version des MATA Frameworks
Die Forscher’ Die Telemetrie zeigt, dass der Bedrohungsakteur eine Loader-Malware verwendet hat, um eine verschlüsselte Nutzlast der nächsten Stufe zu laden.
“Wir sind uns nicht sicher, ob es sich bei der geladenen Nutzlast um die Orchestrator-Malware handelt, Aber fast alle Opfer haben den Lader und den Orchestrator auf derselben Maschine,” Die Forscher erklärten,.
Wie für die Plugins, Der Orchestrator kann laden 15 Plugins gleichzeitig in 3 verschiedene Wege:
Laden Sie das Plugin vom angegebenen HTTP- oder HTTPS-Server herunter
Laden Sie die AES-verschlüsselte Plugin-Datei von einem angegebenen Festplattenpfad
Laden Sie die Plugin-Datei von der aktuellen MataNet-Verbindung herunter
Verschlüsselung
Der Name des Frameworks leitet sich von dem Namen ab, mit dem die böswilligen Akteure die gesamte Infrastruktur aufrufen – MataNet. TLS1.2-Verbindungen werden für verdeckte Kommunikation verwendet, zusammen mit der Open-Source-Bibliothek "openssl-1.1.0f", statisch in diesem Modul verknüpft.
Zusätzlich, Der Verkehr zwischen MataNet-Knoten wird mit einem zufälligen RC4-Sitzungsschlüssel verschlüsselt. MataNet implementiert sowohl den Client- als auch den Servermodus. Im Servermodus werden die Zertifikatdatei „c_2910.cls“ und die private Schlüsseldatei „k_3872.cls“ für die TLS-Verschlüsselung geladen. Jedoch, Dieser Modus wird niemals verwendet.
Nicht-Windows-Versionen des MATA Frameworks
Die Forscher entdeckten auch ein anderes Paket, das andere MATA-Dateien in Kombination mit einer Reihe von Hacking-Tools enthielt. Dieses Paket befand sich auf einer legitimen Distributionsseite, Dies ist höchstwahrscheinlich die Art und Weise, wie die Malware verbreitet wurde.
Das Paket enthielt einen Windows MATA Orchestrator, ein Linux-Tool zum Auflisten von Ordnern, Skripte zum Erkunden von Atlassian Confluence Server über die Sicherheitsanfälligkeit CVE-2019-3396, ein legitimes Socat-Tool, und eine Linux-Version des MATA-Orchestrators, die mit Plugins gebündelt ist.
Die Forscher stießen auch auf Malware für MacOS. Die Malware wurde im April auf VirusTotal hochgeladen 8, 2020. “Die schädliche Apple Disk Image-Datei ist eine trojanisierte macOS-Anwendung, die auf einer Open-Source-Zwei-Faktor-Authentifizierungsanwendung namens MinaOTP basiert,” so der Bericht.
Lazarus Hacking Group
Im Dezember 2019, ein neuer Der macOS-Trojaner wurde aufgedeckt, Das wurde höchstwahrscheinlich von der Lazarus-Hacking-Gruppe entwickelt. Die Malware wurde von Patrick Wardle analysiert. Die Analyse von Wardle ergab, dass die Malware über ein Nachinstallationsskript verfügte, mit dem der Startdämon vip.unioncrypto.plist installiert wurde, um die Persistenz zu erreichen.
Die Lazarus Hacking Gruppe wird angenommen, aus Nordkorea in Betrieb sein und hat für die Planung aufwendige Kampagnen gegen hochkarätige Ziele bekannt. Ihre erste Angriffe waren gegen südkoreanische Institutionen mit Distributed-Denial-of-Service-Attacken zurück in 2009 und 2012.
Die Gruppe ist dafür bekannt, große Netzwerke von Botnetzknoten zu verwenden. Meistens, Diese Netzwerke bestehen aus gehackten Computern.