Cyberprzestępcy nieustannie rozwijają używane przez siebie zestawy narzędzi. Najnowszym dowodem może tu być szkodliwa architektura MATA, którą zidentyfikowali niedawno nasi eksperci. Służyła ona do przeprowadzania ataków na infrastruktury firm na całym świecie, a warto podkreślić, że może działać na różnych systemach operacyjnych i oferuje szeroki wachlarz szkodliwych narzędzi.
Osoby przeprowadzające ataki mogą użyć narzędzi MATA do wielu celów; jednak w przeanalizowanych przez nas przypadkach próbowały one zlokalizować i ukraść dane z baz danych klientów, znajdujące się w infrastrukturze ofiary. W co najmniej jednym przypadku zestaw MATA został również użyty do dystrybucji ransomware (nasi eksperci obiecali przygotować oddzielną analizę tego incydentu).
Krąg zainteresowania cyberprzestępców był stosunkowo szeroki. Wśród zidentyfikowanych ofiar zagrożenia MATA znaleźli się producenci oprogramowania, dostawcy internetu, strony handlu elektronicznego itp. Zaskakująco szeroki był również rozkład geograficzny ataku — ślady aktywności tej grupy wykryliśmy w Polsce, Niemczech, Turcji, Korei, Japonii i Indiach.
Dlaczego nazwaliśmy tę architekturę MATA?
MATA nie jest zwykłym bogatym w funkcje szkodliwym programem. To swego rodzaju konstruktor umożliwiający ładowanie narzędzi na zawołanie. MATA może atakować komputery z trzema najpopularniejszymi systemami operacyjnymi: Windows, Linux i macOS.
Urządzenia z systemem Windows
Najpierw nasi eksperci wykryli ataki z użyciem zestawu MATA wymierzone w komputery z systemem Windows. Przebiegają one w kilku etapach. Na początku operatorzy MATA uruchamiali na komputerze ofiary loadera, który wdrażał tzw. moduł orkiestracji, a ten z kolei pobierał moduły oferujące wiele szkodliwych funkcji.
W zależności od charakteru scenariusza danego ataku moduły mogły zostać załadowane na trzy sposoby: ze zdalnego serwera HTTP lub HTTPS, z zaszyfrowanego pliku na dysku twardym lub przesłane za pośrednictwem infrastruktury MataNet poprzez połączenie TLS 1.2. Wtyczki do zagrożenia MATA mogły:
- uruchamiać polecenie cmd.exe /c lub powershell.exe z dodatkowymi parametrami i gromadzić reakcje na te polecenia,
- manipulować procesami (usuwanie, tworzenie itp.),
- wyszukiwać połączenie TCP z określonym adresem (lub zakresem adresów),
- tworzyć serwer proxy HTTP oczekujący na przychodzące połączenia TCP,
- zmieniać pliki (zapis danych, wysyłanie, usuwanie zawartości itp.),
- wstrzykiwać pliki DLL do działających procesów,
- łączyć się z serwerami zdalnymi.
Urządzenia z systemem Linux i macOS
Dalsze badanie pozwoliło naszym ekspertom znaleźć podobny zestaw narzędzi dla systemu Linux. Oprócz wersji dla Linuksa orkiestratora i wtyczek zawierał on oryginalne narzędzie wiersza poleceń Socat i skrypty do wykorzystania luki CVE-2019-3396 w Atlassian Confluence Server.
Wspomniany zestaw wtyczek różni się od przeznaczonego dla systemu Windows. W szczególności istnieje dodatkowa wtyczka, poprzez którą MATA próbuje nawiązać połączenie TCP poprzez port 8291 (używany do zarządzania urządzeniami z systemem RouterOS) i port 8292 (używany w oprogramowaniu Bloomberg Professional). Jeśli udało się nawiązać połączenie, wtyczka przesyłała rejestr do serwera kontroli. Ta funkcja przypuszczalnie służyła do lokalizowania nowych celów.
Jeśli chodzi narzędzia dla systemu macOS, zostały one zidentyfikowane w aplikacji będącej trojanem, utworzonej w oparciu o oprogramowanie z kodem źródłowym. Jeśli chodzi o funkcjonalność, wersja dla systemu macOS była niemal identyczna jak ta dla systemu Linux.
Szczegółowy opis techniczny architektury oraz oznaki włamania znajdują się w tym poście w serwisie Securelist.
Jak zapewnić sobie bezpieczeństwo?
Nasi eksperci wiążą MATA z ugrupowaniem Lazarus APT, a ataki przeprowadzane przy użyciu tej architektury są zdecydowanie ukierunkowane. Badacze nie mają wątpliwości, że MATA będzie ewoluować. Z tego względu zalecają nawet małym firmom, aby rozważyły wdrożenie zaawansowanych technologii chroniących nie tylko przed zagrożeniami masowymi, ale również przed tymi bardziej skomplikowanymi. W tej roli dobrze sprawdzi się zintegrowane rozwiązanie, które łączy funkcjonalność Endpoint Protection Platform (EPP) and Endpoint Detection and Response (EDR) z dodatkowymi narzędziami. Więcej informacji na ten temat można znaleźć na naszej stronie internetowej.