卡巴斯基安全研究人员最近发现了一个名为“MATA”的活跃多平台恶意软件框架,它非常全面,支持Windows、Linux和MacOS等多个主流平台都有加载器、编排器和插件等多个组件和全球企业都在其攻击范围内。在官方博客上,卡巴斯基实验室(KasperskyLab)透露,已与威胁情报门户客户共享MATA研究信息。主要内容如下:2018年4月第一批MATA相关神器出现。恶意软件框架背后的参与者随后积极渗透到世界各地的企业实体,包括波兰、德国、土耳其、韩国、日本和印度。已确定的受害者包括一家软件公司、一家电子商务公司和一家互联网服务提供商(ISP)。通过对已知攻击的分析,研究人员弄清楚了这个恶意软件框架的目的。例如,在一个组织中,恶意行为者使用该框架查询受害者的数据库以获取客户列表。攻击者还利用MATA分发VHD勒索软件。三个版本的MATA(Windows、Linux、MacOS)的主要信息如下:一、Windows版本Windows版本MATA的组件来源:卡巴斯基实验室Windows版本的MATA由几个组件组成,包括loadermalware和orchestration设备元素。使用硬编码的十六进制字符串将加密的有效负载加载到程序中。此操作为协调器加载插件文件并在内存中执行它们铺平了道路。这些插件使攻击者能够篡改文件、创建HTTP代理服务器以及执行其他任务。(1)加载器该加载器采用硬编码的十六进制字符串,将其转换为二进制,然后AES对其进行解密以获取有效负载文件的路径。每个加载程序都有一个硬编码路径来加载加密的有效负载。然后,负载文件被AES解密并加载。从在一名受感染受害者身上发现的加载器恶意软件,研究人员发现执行加载器恶意软件的父进程是“C:\Windows\System32\wbem\WmiPrvSE.exe”进程。WmiPrvSE.exe进程是一个“WMIProviderHost进程”,这通常意味着攻击者已从远程主机执行此加载程序恶意软件以进行横向移动。因此,攻击者很可能正在使用此加载程序来破坏同一网络上的其他主机。(2)Orchestratororchestrator和插件研究人员在受害者计算机上的lsass.exe进程中发现了Orchestratororchestrator恶意软件。编排器恶意软件从注册表项加载加密的配置数据,并使用AES算法对其进行解密。恶意软件使用硬编码的配置数据,除非注册表值存在。下面是一个来自orchestrator恶意软件样本的配置值示例:Orchestrator可以同时加载15个插件。加载方式一共有三种:从指定的HTTP或HTTPS服务器下载插件从指定的磁盘路径加载AES加密的插件文件从当前的MataNet连接下载插件文件2.非Windows版本MATA框架不仅适用于Windows系统,也适用于Linux和macOS系统。Linux版本的MATA可在合法分发站点上获得,而macOS变体可作为木马化双因素身份验证(2FA)应用程序使用。(1)Linux版本研究人员发现了一个包含各种MATA文件和一套黑客工具的包。该软件包可以在合法的分发站点上找到,这可能表明恶意软件就是这样分发的。它包括WindowsMATAOrchestrator、用于列出文件夹的Linux工具、用于利用AtlassianConfluenceServer(CVE-2019-3396)的脚本、合法的socat工具以及捆绑了一组插件版本的MATAOrchestratorforLinux。中国安全厂商360的网络安全研究所发布了关于该恶意软件的详细博客(https://blog.netlab.360.com/dacls-the-dual-platform-rat-en/)。(2)MacOS版本研究人员还发现了2020年4月8日上传到VirusTotal的攻击macOS的MATA恶意软件的剩余副本。恶意Apple硬盘映像文件是基于开源双因素身份验证应用程序MinaOTP的木马化macOS应用程序。木马化的macOS应用来源:卡巴斯基实验室与其他跨平台恶意软件一样,macOSMATA恶意软件也作为插件运行。插件列表与Linux版本几乎一致,但MacOS版本增加了名为“plugin_socks”的插件,类似于“plugin_reverse_p2p”,负责配置代理服务器。(3)MATA幕后受害者的地理分布来源:卡巴斯基实验室在研究报告中,卡巴斯基实验室将MATA恶意软件平台归咎于知名APT组织Lazarus:我们评估了MATA框架与LazarusAPT组织的关系之间。MATA协调器使用两个独特的文件名,c_2910.cls和k_3872.cls,以前只在几个Manuscrypt变体中看到过,包括US-CERT出版物中提到的样本(0137f688436c468d43b3e50878ec1a1f)。研究人员指出,由Lazarus分发的恶意软件家族Manuscrypt的变种与MATA共享相似的配置结构。这意味着MATA很可能与Lazarus有直接关系。卡巴斯基实验室表示,随着MATA恶意软件平台的发展,它将继续对其进行监控。失陷指标文件哈希(恶意文档、木马、电子邮件、诱饵)(1)Windows加载器f364b46d8aafff67271d350b8271505a85dcea03016df4880cebee9a70de0c021060702fe4e670eda8c0433c5966feee7b068dfbea310962361abf4723332b3a8e665562b9e187585a3f32923cc1f8896cd06403f36ad20a3492060c9dc14d8071d8b4c4411f7ffa89919a3251e6e5cba7bda9b5c579254114fab05ec751918ce58cfbc6e0602681ff1841afadad4cc67e4e49d74b59cc9cc1471e33e50475d3a93d1d5c2cb9c728fda3a5beaf0a0ffc455997E42E20C8256A494FA5556F73337ead1fbba01a76467d63c4a216cf29027d80175ea344b1c849ead7ca5a82ac94bf2765175d6fce7069cdb164603bd7dcb5d85cfaece7da5ed20d8eb2c9fa477c6145fa69a6e42a0bf6a8f7c12005636b2b8ff2a971555390b37f75cb07ae84bd1e175231206cd7f80de4f6d86399c07965632998063ff116417b04b65fdebdfbab2a98d3564c6bf656b8347681ecc2bee3dee2d65512b99a362a1dbf6726ba9cfea3a39f97c00a6c8a589ff48bcc5a8c2cd1f7f17153880fd80eba65b827d344582b9801698c0c1614dbbae73c409efba64b3278cc8f8b75e3c86b6a1faa6686ca250f3c7a3098964a89d879333ac7c8ed5458de272171feee479c355ab4a9f3f0e87707fd0462162e1aecb6b4a53a89f1ca9c730c8b5169fe095d385bac77e7f50a0cd229b7bf57fcbd67ccfa8a5147(2)WindowsMATAbea49839390e4f1eb3cb38d0fcaf897erdata.dat8910bdaaa6d3d40e9f60523d3a34f914sdata.dat6a066cf853fe51e3398ef773d016a4a8228998f29864603fd4966cadd0be77fc(3)注册表路径HKLM\Software\Microsoft\KxtNetHKLM\Software\Microsoft\HlqNetHKLM\Software\mthjk(4)LinuxMATA859e7e9a11b37d355955f85b9a305fecmdata.dat80c0efb9e129f7f9b05a783df6959812ldata.dat,mdata.datd2f94e178c254669fb9656d5513356d2mdata.dat(5)Linux日志收集器982bf527b9fe16205fea606d1beed7fahdata.dat(6)开源LinuxSoCate883bf5fd22eb6237eb84d80bbcf2ac9sdata.dat(7)利用AtlassianConfluenceServer的脚本a99b7ef095f44cf35453465c64f0c70ccheck.vm,r.vm199b4c116ac14964e9646b2f27595156r.vm(8)macOSMATA81f8f0526740b55fe484c42126cd8396TinkaOTP.dmgf05437d510287448325bac98a1378de1SubMenu.nibC2服务器地址104.232.71.7:443107.172.197.175:443108.170.31.81:443111.90.146.105:443111.90.148.132:443172.81.132.41:443172.93.184.62:443172.93.201.219:443185.207.58443192.210.239.122:443198.180.198.6:443209.90.234.34:443216.244.71.233:44323.227.199.53:44323.227.199.69:44323.254.119.12:44367.43.239.146:44368.168.123.86:443【本文是专栏作者“安全牛”的原创文章,Forreprinting,pleaseobtainauthorizationthroughSafeBull(WeChat公众号id:gooann-sectv)]Clickheretoreadmoregoodarticlesbytheauthor[Editorincharge:ZhaoNingningTEL:(010)68476606]
