MATA: een multiplatform malware-framework

Onze experts hebben een malware-framework gedetecteerd dat cybercriminelen gebruiken om verschillende besturingssystemen aan te vallen.

De tools van cybercriminelen blijven zich ontwikkelen. Het laatste voorbeeld: het schadelijke MATA-framework dat onze experts onlangs hebben ontdekt. Cybercriminelen gebruikten het om bedrijfsinfrastructuren over de hele wereld aan te vallen. Het kan op verschillende besturingssystemen werken en beschikt over een breed aanbod aan schadelijke tools.

Boosdoeners kunnen MATA mogelijk gebruiken voor tal van criminele doeleinden. In de gevallen die wij hebben geanalyseerd, probeerden de cybercriminelen echter vooral om gegevens uit klantendatabases binnen de infrastructuur van het slachtoffer te stelen. In tenminste één geval gebruikten ze MATA ook om ransomware te verspreiden (onze experts beloofden een apart onderzoek naar dat incident).

De invloedssfeer van de aanvallers was nogal breed. Onder de geïdentificeerde slachtoffers van MATA waren softwareontwikkelaars, internetaanbieders, webshops en anderen. De aanvalsgeografie was ook vrij divers: we detecteerden sporen van de activiteit van de groep in Polen, Duitsland, Turkije, Korea, Japan en India.

Waarom noemen we MATA een framework?

MATA is niet simpelweg een stukje malware met vele functies. Het is een soort constructor voor het laden van tools waar en wanneer dat nodig is. Laten we beginnen met het feit dat MATA computers kan aanvallen die op de drie populairste besturingssystemen draaien: Windows, Linux en macOS.

Windows

Onze experts detecteerden in eerste instantie MATA-aanvallen die zich op Windows-apparaten richtten. Die vonden plaats in verschillende fases. In eerste instantie draaiden MATA-operators een loader op de computer van het slachtoffer dat de zogenaamde orchestrator module inzette, die op zijn beurt modules met tal van schadelijke functies downloadde.

Afhankelijk van de kenmerken van het specifieke aanvalsscenario, kunnen de modules op afstand geladen worden vanaf een HTTP- of HTTPS-server, van een versleuteld bestand op de harde schrijf, of worden overgedragen via de MataNet-infrastructuur over een TLS 1.2-verbinding. De diverse MATA-plug-ins kunnen:

  • exe /c of powershell.exe uitvoeren met aanvullende parameters en de reacties op deze commando’s verzamelen;
  • Processen manipuleren (verwijderen, creëren, etc.);
  • Een check uitvoeren voor een TCP-verbinding met een specifiek adres (of een reeks aan adressen);
  • Een HTTP-proxyserver creëren die wacht op inkomende TCP-verbindingen;
  • Bestanden manipuleren (gegevens schrijven, versturen, content verwijderen, etc.);
  • DLL-bestanden in draaiende processen injecteren;
  • Verbinding maken met servers op afstand.

Linux en macOS

Bij verder onderzoek vonden onze experts een vergelijkbare reeks tools voor Linux. Behalve de Linux-versie van de orchestrator en plug-ins, bevatte deze het legitieme opdrachtregelprogramma Socat en scripts voor het benutten van de kwetsbaarheid CVE-2019-3396 in de Atlassian Confluence Server.

De reeks plug-ins verschilt enigszins van die voor Windows. Het gaat hierbij in het bijzonder om een extra plug-in die MATA gebruikt om een TCP-verbinding te maken via poort 8291 (gebruikt om apparaten te beheren die RouterOS draaien) en poort 8292 (gebruikt in Bloomberg Professional-software). Als de poging om verbinding te maken succesvol is, zet de plug-in het logboek over naar de C&C-server. Deze functie dient vermoedelijk om nieuwe doelwitten op te sporen.

Voor macOS-tools werden ze gevonden in een getrojaniseerde applicatie gebaseerd op open-source software. Wat betreft de functionaliteit was de macOS-versie bijna identiek aan zijn Linux-neefje.

U kunt een gedetailleerd technisch overzicht van het framework samen met de indicators of compromise vinden in de relevante post op Securelist.

Hoe beschermt u zich hiertegen?

Onze experts linken MATA aan de groep Lazarus APT, en de aanvallen die met dit framework worden uitgevoerd zijn zonder enige twijfel gerichte aanvallen. Onderzoekers zijn er zeker van dat MATA zich zal blijven ontwikkelen. Daarom raden we zelfs kleinere bedrijven aan om na te denken over het inzetten van geavanceerde technologieën ter bescherming tegen niet alleen massadreigingen, maar ook complexere dreigingen. Wij bieden hier een geïntegreerde oplossing voor aan die de functionaliteit van Endpoint Protection Platform (EPP) en Endpoint Detection and Response (EDR) combineert met aanvullende tools. U kunt er meer over lezen op onze website.

Tips