Beveiligingsonderzoekers bij Kaspersky Labs hebben onlangs een nieuw malwarekader ontdekt dat ze MATA noemden. De onderzoekers denken dat het MATA-raamwerk is gekoppeld aan de Lazarus APT-groep.
Het MATA-framework bevat verschillende componenten, inclusief lader, orkestrator, en plugins, en kan Windows targeten, Linux en macOS. Het is een weergave van hoe snel bedreigingsactoren hun aanvalsstrategieën aanpassen in overeenstemming met de zich ontwikkelende complexiteit van de IT- en OT-omgevingen.
Volgens het verslag, de eerste artefacten met betrekking tot MATA werden rond april gebruikt 2018. Nadien, de bedreigingsspeler achter het raamwerk gebruikte het agressief om bedrijven overal ter wereld te infiltreren. Na een analyse op basis van de telemetrie van Kaspersky, het team heeft met succes het doel van MATA gedefinieerd.
De Windows-versie van het MATA Framework
De onderzoekers’ telemetrie laat zien dat de bedreigingsacteur een loader-malware heeft gebruikt om een gecodeerde payload in de volgende fase te laden.
“We weten niet zeker of de geladen payload de orchestrator-malware is, maar bijna alle slachtoffers hebben de lader en de orkestrator op dezelfde machine,” de onderzoekers verklaard.
Wat betreft de plug-ins, de orkestrator kan laden 15 plug-ins tegelijkertijd in 3 verschillende manieren:
Download de plug-in van de opgegeven HTTP- of HTTPS-server
Laad het AES-gecodeerde plug-inbestand vanaf een gespecificeerd schijfpad
Download het plug-inbestand van de huidige MataNet-verbinding
encryptie
De naam van het framework komt van de naam die de kwaadwillende actoren gebruiken om de volledige infrastructuur aan te roepen – MataNet. TLS1.2-verbindingen worden gebruikt voor geheime communicatie, samen met de "openssl-1.1.0f" open source bibliotheek, statisch gekoppeld binnen deze module.
Bovendien, het verkeer tussen MataNet-knooppunten wordt versleuteld met een willekeurige RC4-sessiesleutel. MataNet implementeert zowel client- als servermodus. In servermodus worden het certificaatbestand "c_2910.cls" en het privésleutelbestand "k_3872.cls" geladen voor TLS-codering. Echter, deze modus wordt nooit gebruikt.
Niet-Windows-versies van het MATA Framework
De onderzoekers ontdekten ook een ander pakket met andere MATA-bestanden in combinatie met een set hacktools. Dit pakket bevond zich op een legitieme distributiesite, wat waarschijnlijk de manier is waarop de malware werd verspreid.
Het pakket bevatte een Windows MATA-orchestrator, een Linux-tool voor het weergeven van mappen, scripts voor het verkennen van Atlassian Confluence Server via het CVE-2019-3396-beveiligingslek, een legitieme socat-tool, en een Linux-versie van de MATA-orchestrator gebundeld met plug-ins.
De onderzoekers kwamen ook malware tegen die was ontworpen om macOS te targeten. De malware is in april geüpload naar VirusTotal 8, 2020. “Het schadelijke Apple Disk Image-bestand is een Trojanized macOS-applicatie gebaseerd op een open-source tweefactorauthenticatie-applicatie genaamd MinaOTP,” aldus het rapport.
Lazarus Hacking Group
In december 2019, een nieuwe macOS Trojan is ontdekt, die hoogstwaarschijnlijk is ontwikkeld door de Lazarus-hackgroep. De malware is geanalyseerd door Patrick Wardle. Uit de analyse van Wardle bleek dat de malware een postinstall-script had waarmee de vip.unioncrypto.plist launch daemon werd geïnstalleerd om persistentie te bereiken.
De Lazarus hacken groep wordt verondersteld te worden die vanuit Noord-Korea en is bekend voor het plannen van uitgebreide campagnes tegen high-profile doelen. Hun eerste aanvallen waren gericht tegen de Zuid-Koreaanse instellingen die gebruik maken gedistribueerde denial-of-service weer in 2009 en 2012.
De groep staat bekend om het gebruik van grote netwerken van botnet-knooppunten. Meestal, deze netwerken zijn gemaakt van gehackte computers.