I ricercatori della sicurezza di Kaspersky Lab hanno recentemente rilevato un nuovo framework di malware che hanno chiamato MATA. I ricercatori ritengono che il framework MATA sia collegato al gruppo APT di Lazarus.
Il framework MATA contiene diversi componenti, incluso caricatore, orchestratore, e plugin, ed è in grado di indirizzare Windows, Linux e macOS. È una rappresentazione di quanto rapidamente gli attori delle minacce adattano le loro strategie di attacco in consonanza con la complessità in evoluzione degli ambienti IT e OT.
Secondo il rapporto, i primi manufatti relativi al MATA furono usati intorno ad aprile 2018. Dopo di che, l'attore di minaccia dietro il framework lo ha utilizzato in modo aggressivo per infiltrarsi in entità aziendali in tutto il mondo. Dopo un'analisi basata sulla telemetria di Kaspersky, il team ha definito con successo lo scopo di MATA.
La versione per Windows di MATA Framework
I ricercatori’ la telemetria mostra che l'attore delle minacce ha utilizzato un malware caricatore per caricare un payload crittografato nella fase successiva.
“Non siamo sicuri che il payload caricato sia il malware dell'orchestrator, ma quasi tutte le vittime hanno il caricatore e l'orchestratore sulla stessa macchina,” i ricercatori hanno spiegato.
Per quanto riguarda i plugin, l'orchestratore può caricare 15 plugin contemporaneamente 3 diversi modi:
Scarica il plug-in dal server HTTP o HTTPS specificato
Carica il file del plug-in crittografato AES da un percorso del disco specificato
Scarica il file del plug-in dalla connessione MataNet corrente
crittografia
Il nome del framework deriva dal nome utilizzato dagli attori malintenzionati per chiamare l'intera infrastruttura – MataNet. Le connessioni TLS1.2 vengono utilizzate per comunicazioni nascoste, insieme alla libreria open source "openssl-1.1.0f", staticamente collegato all'interno di questo modulo.
Inoltre, il traffico tra i nodi MataNet è crittografato con una chiave di sessione RC4 casuale. MataNet implementa la modalità client e server. In modalità server, il file del certificato "c_2910.cls" e il file della chiave privata "k_3872.cls" vengono caricati per la crittografia TLS. Tuttavia, questa modalità non viene mai utilizzata.
Versioni non Windows del framework MATA
I ricercatori hanno anche scoperto un altro pacchetto che conteneva altri file MATA combinati con una serie di strumenti di hacking. Questo pacchetto risiedeva in un sito di distribuzione legittimo, che è probabilmente il modo in cui il malware veniva diffuso.
Il pacchetto conteneva un orchestrator MATA di Windows, uno strumento Linux per elencare le cartelle, script per esplorare Atlassian Confluence Server tramite la vulnerabilità CVE-2019-3396, uno strumento socat legittimo, e una versione Linux dell'orchestrator MATA in bundle con plugin.
I ricercatori hanno anche scoperto malware progettati per colpire macOS. Il malware è stato caricato su VirusTotal ad aprile 8, 2020. “Il file immagine del disco Apple dannoso è un'applicazione macOS di tipo Trojan basata su un'applicazione di autenticazione a due fattori open source denominata MinaOTP,” dice il rapporto.
Lazarus Hacking Group
In dicembre 2019, un nuovo macOS Trojan è stato scoperto, che è stato molto probabilmente sviluppato dal gruppo di hacking di Lazzaro. Il malware è stato analizzato da Patrick Wardle. L'analisi di Wardle ha mostrato che il malware aveva uno script postinstallazione che installava il demone di avvio vip.unioncrypto.plist per ottenere persistenza.
Il gruppo di hacker Lazzaro si crede di essere operativo dalla Corea del Nord ed è stato conosciuto per la pianificazione di campagne elaborate contro obiettivi di alto profilo. I loro primi attacchi erano contro le istituzioni della Corea del Sud utilizzando distribuiti attacchi denial-of-service nel 2009 e 2012.
Il gruppo è noto per l'utilizzo di grandi reti di nodi botnet. Nella maggior parte dei casi, queste reti sono fatte di computer compromessi.