Les chercheurs en sécurité de Kaspersky Labs ont récemment détecté un nouveau framework de logiciels malveillants qu'ils ont appelé MATA. Les chercheurs pensent que le framework MATA est lié au groupe Lazarus APT.
Le framework MATA contient plusieurs composants, y compris le chargeur, orchestrateur, et plugins, et est capable de cibler Windows, Linux et macOS. Il s'agit d'une représentation de la rapidité avec laquelle les acteurs de la menace adaptent leurs stratégies d'attaque en fonction de la complexité évolutive des environnements IT et OT.
Selon le rapport, les premiers artefacts liés à MATA ont été utilisés vers avril 2018. Après cela, l'acteur de la menace derrière le cadre l'a utilisé de manière agressive pour infiltrer les entreprises du monde entier. Après une analyse basée sur la télémétrie de Kaspersky, l'équipe a défini avec succès l'objectif de MATA.
La version Windows du framework MATA
Les chercheurs’ la télémétrie montre que l'acteur de la menace a utilisé un programme malveillant de chargement pour charger une charge utile chiffrée de l'étape suivante.
“Nous ne sommes pas sûrs que la charge utile chargée soit le malware orchestrateur, mais presque toutes les victimes ont le chargeur et l'orchestrateur sur la même machine,” les chercheurs ont expliqué.
Quant aux plugins, l'orchestrateur peut charger 15 plugins simultanément dans 3 différentes façons:
Téléchargez le plugin depuis le serveur HTTP ou HTTPS spécifié
Chargez le fichier de plug-in chiffré AES à partir d'un chemin de disque spécifié
Téléchargez le fichier du plugin à partir de la connexion MataNet actuelle
Encryption
Le nom du framework vient du nom que les acteurs malveillants utilisent pour appeler l'ensemble de l'infrastructure – MataNet. Les connexions TLS1.2 sont utilisées pour les communications secrètes, avec la bibliothèque open source «openssl-1.1.0f», lié statiquement à l'intérieur de ce module.
Plus, le trafic entre les nœuds MataNet est chiffré avec une clé de session RC4 aléatoire. MataNet implémente le mode client et serveur. En mode serveur, le fichier de certificat «c_2910.cls» et le fichier de clé privée «k_3872.cls» sont chargés pour le cryptage TLS. Cependant, ce mode n'est jamais utilisé.
Versions non Windows du framework MATA
Les chercheurs ont également découvert un autre package contenant d'autres fichiers MATA combinés à un ensemble d'outils de piratage.. Ce package résidait sur un site de distribution légitime, qui est très probablement la manière dont le malware se propageait.
Le package contenait un orchestrateur Windows MATA, un outil Linux pour lister les dossiers, scripts pour explorer Atlassian Confluence Server via la vulnérabilité CVE-2019-3396, un outil de socat légitime, et une version Linux de l'orchestrateur MATA fournie avec des plugins.
Les chercheurs ont également découvert des logiciels malveillants conçus pour cibler macOS. Le logiciel malveillant a été téléchargé sur VirusTotal en avril 8, 2020. “Le fichier image de disque Apple malveillant est une application macOS cheval de Troie basée sur une application d'authentification à deux facteurs open source nommée MinaOTP,” le rapport.
Groupe de piratage Lazarus
En décembre 2019, un nouveau Le cheval de Troie macOS a été découvert, qui a été très probablement développé par le groupe de piratage Lazarus. Le malware a été analysé par Patrick Wardle. L'analyse de Wardle a montré que le logiciel malveillant disposait d'un script de post-installation qui installait le démon de lancement vip.unioncrypto.plist pour obtenir la persistance.
Le groupe de piratage Lazare est censé fonctionner de la Corée du Nord et a été connu pour la planification des campagnes élaborées contre des cibles de grande envergure. Leurs premières attaques étaient contre les institutions sud-coréennes en utilisant les attaques par déni de service distribué en arrière 2009 et 2012.
Le groupe est connu pour utiliser de grands réseaux de nœuds de botnet. Dans la plupart des cas, ces réseaux sont constitués d'ordinateurs piratés.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: