Pesquisadores de segurança da Kaspersky Labs detectaram recentemente uma nova estrutura de malware que eles chamaram de MATA. Os pesquisadores acreditam que o framework MATA está vinculado ao grupo Lazarus APT.
A estrutura MATA contém vários componentes, incluindo carregador, orquestrador, e plugins, e é capaz de direcionar o Windows, Linux e macOS. É uma descrição da rapidez com que os atores de ameaças adaptam suas estratégias de ataque em consonância com a crescente complexidade dos ambientes de TI e OT.
De acordo com o relatório, os primeiros artefatos relacionados ao MATA foram utilizados por volta de abril 2018. Depois disso, o agente de ameaças por trás da estrutura o utilizou agressivamente para se infiltrar em entidades corporativas em todo o mundo. Após uma análise baseada na telemetria da Kaspersky, a equipe definiu com sucesso o objetivo do MATA.
A versão do Windows do MATA Framework
Os pesquisadores’ a telemetria mostra que o agente da ameaça utilizou um malware do carregador para carregar uma carga útil criptografada do próximo estágio.
“Não temos certeza de que a carga útil carregada seja o malware do orquestrador, mas quase todas as vítimas têm o carregador e o orquestrador na mesma máquina,” os pesquisadores explicaram.
Quanto aos plugins, o orquestrador pode carregar 15 plugins simultaneamente em 3 jeitos diferentes:
Faça o download do plug-in do servidor HTTP ou HTTPS especificado
Carregue o arquivo de plug-in criptografado em AES a partir de um caminho de disco especificado
Faça o download do arquivo de plug-in da conexão MataNet atual
Encryption
O nome da estrutura deriva do nome que os agentes maliciosos usam para chamar toda a infraestrutura – MataNet. As conexões TLS1.2 são usadas para comunicações secretas, junto com a biblioteca de código aberto “openssl-1.1.0f”, estaticamente vinculado dentro deste módulo.
Além disso, o tráfego entre os nós MataNet é criptografado com uma chave de sessão aleatória RC4. MataNet implementa o modo cliente e servidor. No modo servidor, o arquivo de certificado “c_2910.cls” e o arquivo de chave privada “k_3872.cls” são carregados para criptografia TLS. Contudo, esse modo nunca é usado.
Versões não Windows do MATA Framework
Os pesquisadores também descobriram outro pacote que continha outros arquivos MATA combinados com um conjunto de ferramentas de hackers. Este pacote residia em um site de distribuição legítimo, que é provavelmente a maneira como o malware estava sendo espalhado.
O pacote continha um orquestrador do Windows MATA, uma ferramenta Linux para listar pastas, scripts para explorar o Atlassian Confluence Server através da vulnerabilidade CVE-2019-3396, uma ferramenta socat legítima, e uma versão Linux do orquestrador MATA empacotada com plugins.
Os pesquisadores também encontraram malware projetado para atingir o macOS. O malware foi carregado no VirusTotal em abril 8, 2020. “O arquivo malicioso do Apple Disk Image é um aplicativo macOS Trojanized baseado em um aplicativo de autenticação de dois fatores de código aberto chamado MinaOTP,” segundo o relatório.
Lazarus Hacking Group
Em dezembro 2019, uma nova O Trojan do macOS foi descoberto, que foi altamente desenvolvido pelo grupo de hackers Lazarus. O malware foi analisado por Patrick Wardle. A análise de Wardle mostrou que o malware tinha um script pós-instalação que instalava o daemon de inicialização vip.unioncrypto.plist para obter persistência.
Acredita-se que o grupo de hackers Lázaro estar operando a partir da Coreia do Norte e tem sido conhecido para o planejamento de campanhas elaboradas contra alvos de alto perfil. Seus primeiros ataques foram contra as instituições sul-coreano usando ataques de negação de serviço distribuído cópias em 2009 e 2012.
O grupo é conhecido por usar grandes redes de nós de botnets. Na maioria dos casos, essas redes são feitas de computadores invadidos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: