Los investigadores de seguridad de Kaspersky Labs detectaron recientemente un nuevo marco de malware que llamaron MATA. Los investigadores creen que el marco MATA está vinculado al grupo APT Lazarus.
El marco MATA contiene varios componentes., incluyendo cargador, orquestador, y plugins, y es capaz de apuntar a Windows, Linux y macOS. Es una descripción de la rapidez con que los actores de amenazas adaptan sus estrategias de ataque en consonancia con la complejidad en evolución de los entornos de TI y OT.
De acuerdo a el informe, los primeros artefactos relacionados con MATA se usaron alrededor de abril 2018. Después de esto, el actor de la amenaza detrás del marco lo utilizó agresivamente para infiltrarse en entidades corporativas de todo el mundo. Después de un análisis basado en la telemetría de Kaspersky, el equipo definió con éxito el propósito de MATA.
La versión de Windows del marco MATA
Los investigadores’ La telemetría muestra que el actor de la amenaza utilizó un malware cargador para cargar una carga cifrada de la siguiente etapa.
“No estamos seguros de que la carga útil cargada sea el malware del orquestador, pero casi todas las víctimas tienen el cargador y el orquestador en la misma máquina,” los investigadores explicaron.
En cuanto a los complementos, el orquestador puede cargar 15 plugins simultáneamente en 3 diferentes caminos:
Descargue el complemento del servidor HTTP o HTTPS especificado
Cargue el archivo de complemento cifrado con AES desde una ruta de disco especificada
Descargue el archivo de complemento de la conexión actual de MataNet
cifrado
El nombre del marco proviene del nombre que los actores maliciosos usan para llamar a toda la infraestructura – MataNet. Las conexiones TLS1.2 se usan para comunicaciones encubiertas, junto con la biblioteca de código abierto "openssl-1.1.0f", enlazado estáticamente dentro de este módulo.
Además, el tráfico entre los nodos MataNet se cifra con una clave de sesión RC4 aleatoria. MataNet implementa el modo cliente y servidor. En modo servidor, el archivo de certificado "c_2910.cls" y el archivo de clave privada "k_3872.cls" se cargan para el cifrado TLS. Sin embargo, este modo nunca se usa.
Versiones que no son de Windows del marco MATA
Los investigadores también descubrieron otro paquete que contenía otros archivos MATA combinados con un conjunto de herramientas de piratería.. Este paquete residía en un sitio de distribución legítimo., cuál es probablemente la forma en que se propagó el malware.
El paquete contenía un orquestador de Windows MATA, una herramienta de Linux para listar carpetas, guiones para explorar Atlassian Confluence Server a través de la vulnerabilidad CVE-2019-3396, una herramienta socat legítima, y una versión de Linux del orquestador MATA incluido con complementos.
Los investigadores también encontraron malware diseñado para apuntar a macOS. El malware se cargó en VirusTotal en abril 8, 2020. “El archivo malicioso Apple Disk Image es una aplicación troyanizada de macOS basada en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP,” según el informe.
Lazarus Hacking Group
En diciembre 2019, un nuevo El troyano macOS fue descubierto, que fue muy probablemente desarrollado por el grupo de pirateo de Lázaro. El malware fue analizado por Patrick Wardle. El análisis de Wardle mostró que el malware tenía un script posterior a la instalación que instaló el demonio de lanzamiento vip.unioncrypto.plist para lograr la persistencia.
El grupo de hackers Lázaro se cree que está operando desde Corea del Norte y ha sido conocido para la planificación de campañas elaboradas contra objetivos de alto perfil. Sus primeros ataques fueron contra las instituciones de Corea del Sur el uso de ataques distribuidos de denegación de servicio en la espalda 2009 y 2012.
El grupo es conocido por usar grandes redes de nodos de botnet. En la mayoría de los casos, estas redes están hechas de computadoras pirateadas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: