MATA: мультиплатформенные инструменты злоумышленников

Наши эксперты обнаружили вредоносный фреймворк, позволяющий атаковать разные операционные системы.

Инструменты, используемые киберпреступниками, постоянно эволюционируют. Очередной тому пример — вредоносный фреймворк MATA, который недавно обнаружили наши эксперты. Злоумышленники использовали его для атак на корпоративные инфраструктуры по всему миру, он мог «работать» с разными операционными системами и обладал широким набором вредоносных инструментов.

Потенциально MATA могли использовать для решения самых разнообразных преступных задач. Однако в тех случаях, которые удалось проанализировать нашим экспертам, злоумышленники пытались обнаружить в инфраструктуре жертвы базы данных клиентов. Кроме того, как минимум в одном случае с помощью MATA распространяли шифровальщик (этому случаю наши эксперты обещают посвятить отдельное исследование).

Сфера интересов злоумышленников была достаточно широка: среди выявленных жертв MATA можно найти представителей разных индустрий — разработчиков ПО, интернет-провайдеров, онлайн-магазины. География атак тоже достаточно обширна: мы обнаружили следы активности этой группы в Польше, Германии, Турции, Корее, Японии и Индии.

Почему MATA — фреймворк

MATA — это не просто некий вредонос с богатым набором возможностей. Это своеобразный конструктор, позволяющий подгружать нужные инструменты по мере необходимости. Начать с того, что MATA может атаковать компьютеры под управлением всех трех самых популярных операционных систем: Windows, Linux и macOS.

Windows

Сначала наши эксперты обнаружили атаки MATA, направленные на машины под управлением Windows. Они происходят в несколько этапов. Сначала на компьютеры жертв попадет загрузчик, который разворачивает своего рода «командный центр» — так называемый «оркестратор». Тот, в свою очередь, скачивает необходимые модули.

В зависимости от особенностей атаки на каждую конкретную цель модули могли загружаться с удаленного HTTP или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2. Разнообразные плагины MATA могли:

  • Запускать cmd.exe /c или powershell.exe с дополнительными параметрами и собирать ответы на эти команды.
  • Манипулировать процессами (снимать, создавать и так далее).
  • Проверять наличие TCP-соединения с заданным адресом (или спектром адресов).
  • Создавать HTTP-прокси-сервер, ждущий входящих TCP-соединений.
  • Манипулировать файлами (записывать данные, пересылать, уничтожать содержимое).
  • Инжектировать DLL-файлы в запущенные процессы.
  • Соединяться с удаленными серверами.

Linux и macOS

При дальнейшем расследовании наши эксперты нашли аналогичный набор инструментов и для Linux. В нем кроме Linux-версии оркестратора и плагинов были также легитимная утилита для командной строки Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server. Набор Linux-инструментов несколько отличается от аналога под Windows: в частности, есть дополнительный плагин, при помощи которого MATA пытается установить TCP-соединение через порт 8291 (используется для администрирования устройств под управлением RouterOS ) и порт 8292 (применяется в софте Bloomberg Professional). Если попытка установить соединение успешна, то плагин передает лог на командный сервер. Предположительно эта функция используется для поиска новых целей.

Что касается инструментов для macOS, то они были обнаружены в троянизированном приложении, построенном на базе программы с открытым кодом. По функциональности версия для macOS была практически идентична версии для Linux.

Подробное техническое описание фреймворка вместе с индикаторами компрометации можно найти в блог-посте на сайте Securelist.

Как защититься?

По мнению наших экспертов, фреймворк MATA связан с группировкой Lazarus, и атаки, проводимые с его помощью, — целевые операции для добычи финансов. Эксперты считают, что этот фреймворк будет продолжать развиваться. Поэтому мы рекомендуем даже небольшим компаниям задуматься о применении продвинутых технологий, позволяющих защищаться не только от массовых, но и от сложных угроз. В частности, у нас есть интегрированное решение, объединяющее функции Endpoint Protection Platform (EPP) и Endpoint Detection and Response (EDR) с дополнительными инструментами. Узнать о нем подробнее можно на нашем сайте.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.