Το MATA malware framework εκμεταλλεύεται το Σύστημα Ανίχνευσης και Αποκατάστασης Παραβιάσεων (EDR) σε επιθέσεις κατά εταιρειών άμυνας.
Μια ενημερωμένη έκδοση του MATA backdoor framework εντοπίστηκε σε επιθέσεις από τον Αύγουστο του 2022 έως τον Μάιο του 2023, με στόχους τις εταιρείες πετρελαίου και αερίου και την αμυντική βιομηχανία στην Ανατολική Ευρώπη.
Οι επιθέσεις χρησιμοποίησαν spear-phishing emails για να εξαπατήσουν τους στόχους να κατεβάσουν κακόβουλα εκτελέσιμα που εκμεταλλεύονται το CVE-2021-26411 στο Internet Explorer για να ξεκινήσουν την αλυσίδα μόλυνσης.
Το ενημερωμένο MATA framework συνδυάζει έναν loader, έναν κύριο trojan και έναν infostealer για να δημιουργήσει backdoor και να αποκτήσει μόνιμη παρουσία σε στοχευμένα δίκτυα.
Το booster του Starship προσγειώθηκε πρώτη φορά επιτυχώς
Ecovacs hacked: Σκούπες ρομπότ κυνηγούσαν κατοικίδια
We, Robot event: Αποκάλυψη Cybercab robotaxi & Tesla Robovan
Η έκδοση MATA σε αυτές τις επιθέσεις είναι παρόμοια με προηγούμενες εκδόσεις που συνδέονται με τη Βόρεια Κορεάτικη ομάδα hacking Lazarus, αλλά με ενημερωμένες δυνατότητες.
Ειδικότερα, η εξάπλωση κακόβουλου λογισμικού σε όλες τις προσβάσιμες γωνιές του εταιρικού δικτύου πραγματοποιείται μέσω παραβίασης των λύσεων συμμόρφωσης ασφαλείας και εκμετάλλευσης των ελλείψεών τους.
Δείτε επίσης: Οι hackers Lazarus στοχεύουν χρήστες με ψεύτικες συνεντεύξεις μέσω trojanized VNC apps
Δείτε επίσης: Μία σοβαρή κυβερνοεπίθεση θα μπορούσε να κοστίσει μέχρι 3,5 τρισεκατομμύρια δολάρια
Κατάχρηση EDR σε επιθέσεις
Η εταιρεία κυβερνοασφάλειας ανακάλυψε την δραστηριότητα τον Σεπτέμβριο του 2022, αφού εξέτασε δύο δείγματα MATA που επικοινωνούσαν με command and control servers (C2) εντός breached δικτύων οργανισμών.
Μετά από περαιτέρω ανάλυση, διαπιστώθηκε ότι τα παραβιασμένα συστήματα ήταν οι διακομιστές λογισμικού οικονομικών δεδομένων που συνδέονταν με πολλές θυγατρικές εταιρείες του στόχου.
Η έρευνα αποκάλυψε ότι οι χάκερ είχαν επεκτείνει το foothold τους από έναν μόνο domain controller σε μια παραγωγική μονάδα στο σύνολο του εταιρικού δικτύου.
Η επίθεση συνεχίστηκε με τους χάκερ να αποκτούν πρόσβαση σε δύο διαχειριστικά πάνελ ασφάλειας, ένα για την προστασία endpoint και ένα για τους ελέγχους συμμόρφωσης.
Οι χάκερ έκαναν abuse την πρόσβαση στον διαχειριστικό πίνακα του λογισμικού ασφαλείας για να πραγματοποιήσουν παρακολούθηση στη υποδομή του οργανισμού και να εξαπλώσουν malware στα subsidiaries του.
Ανανεωμένο MATA malware
Σε περιπτώσεις όπου οι στόχοι ήταν Linux servers, οι επιτιθέμενοι χρησιμοποίησαν μια παραλλαγή του MATA για Linux σε μορφή αρχείου ELF, που φαίνεται να έχει παρόμοια λειτουργικότητα με την τρίτη γενιά του Windows implant.
Σύμφωνα με την Kaspersky, δοκίμασε τρεις νέες εκδόσεις του MATA malware: η μία (v3) εξελίχθηκε από τη δεύτερη γενιά που είχε παρατηρηθεί σε προηγούμενες επιθέσεις, η δεύτερη (v4) με την ονομασία ‘MataDoor’, και η τρίτη (v5) που δημιουργήθηκε από την αρχή.
Η πιο πρόσφατη έκδοση του MATA παρέχεται σε μορφή DLL και διαθέτει εκτεταμένες δυνατότητες απομακρυσμένου ελέγχου, υποστηρίζει multi-protocol (TCP, SSL, PSSL, PDTLS) συνδέσεις στους control servers και υποστηρίζει proxy (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM).
Οι 23 εντολές που υποστηρίζονται από την πέμπτη γενιά του MATA περιλαμβάνουν δράσεις για την εγκατάσταση συνδεσιμότητας, τη διαχείριση του implant και την ανάκτηση πληροφοριών.
Με την προσθήκη επιπλέον plugins στο malware, αυτό γίνεται ικανό να εκτελέσει άλλες 75 εντολές που σχετίζονται με τη συλλογή πληροφοριών, τη διαχείριση διεργασιών, τη διαχείριση αρχείων, την εξερεύνηση δικτύου, τη λειτουργία proxy και την απομακρυσμένη εκτέλεση εντολών.
Άλλα ενδιαφέροντα ευρήματα περιλαμβάνουν ένα νέο κακόβουλο λογισμικό που μπορεί να χρησιμοποιήσει αφαιρούμενα αποθηκευτικά μέσα, όπως ένα USB, για να μολύνει συστήματα που είναι απομονωμένα από το δίκτυο, διάφορα εργαλεία κλοπής που μπορούν να καταγράψουν διαπιστευτήρια, cookies, screenshots και περιεχόμενο clipboard, καθώς και εργαλεία παράκαμψης EDR/security.
Οι ερευνητές αναφέρουν ότι οι χάκερ παρέκαμψαν το EDR και τα εργαλεία ασφαλείας χρησιμοποιώντας μια δημόσια διαθέσιμη εκμετάλλευση για το CVE-2021-40449, που ονομάζεται «CallbackHell».
Χρησιμοποιώντας αυτό το εργαλείο, οι επιτιθέμενοι τροποποιούν τη μνήμη kernel και επικεντρώνονται σε συγκεκριμένες διαδικασίες κλήσης, καθιστώντας τα εργαλεία endpoint security αναποτελεσματικά.
Εάν αυτή η μέθοδος παράκαμψης απέτυχε, άλλαξαν σε τεχνικές προηγουμένως τεκμηριωμένες Bring Your Own Vulnerable Driver (BYOVD).
Παρότι η Kaspersky προηγουμένως συσχέτισε το MATA με τη Βόρειο Κορεατική ομάδα Lazarus, η εταιρεία κυβερνοασφάλειας αντιμετωπίζει δυσκολίες στο να συσχετίσει με αυξημένη βεβαιότητα την πρόσφατα παρατηρούμενη δραστηριότητα.
Αν και υπάρχουν ακόμα εμφανείς συνδέσεις με τη δραστηριότητα του Lazarus, οι νεότερες παραλλαγές του MATA και οι τεχνικές όπως το TTLV serialization, τα multilayered πρωτόκολλα και οι μηχανισμοί handshake μοιάζουν περισσότερο με αυτούς των ομάδων APT ‘Five Eyes’ όπως Purple, Magenta και Green Lambert.
Επίσης, η εκτέλεση πολλών κακόβουλων πλαισίων και εκδόσεων πλαισίου MATA σε μια μόνο επίθεση είναι πολύ ασυνήθιστη, προδίδοντας έναν ιδιαίτερα καλά προετοιμασμένο κακόβουλο παράγοντα.
Πηγή πληροφοριών: bleepingcomputer.com