MATA 恶意软件利用EDR攻击东欧能源企业和国防工业
Bleeping Computer 网站披露,2022 年 8 月至 2023 年 5 月期间,研究人员在针对东欧石油天然气公司和国防工业的攻击活动中发现了 MATA 后门框架的新变种。
从研究人员发布的信息来看,网络攻击者采用鱼叉式网络钓鱼电子邮件,诱骗目标下载恶意可执行文件,利用 Internet Explorer 中的 CVE-2021-26411 启动感染链,本次更新后的 MATA 框架结合了一个加载器、一个主木马和一个信息窃取器,可在目标网络中打开后门并获得“持久性”。
网络攻击者滥用 EDR
2022 年 9 月,网络安全公司卡巴斯基发现了多个属于 MATA 组织的新恶意软件样本。进一步分析显示,网络攻击者破坏了目标组织子公司之间相连的财务软件服务器的网络系统, 可见,网络攻击者已将其“立足点”从生产工厂的单个域控制器扩展到整个公司网络。
攻击链继续向下,网络攻击者先后访问了两个安全解决方案管理面板,其中一个用于端点保护,另一个用于合规性检查。获得安全软件管理面板的访问权限后,网络攻击者对该组织的基础设施实施监控,并向其子公司传播恶意软件。
MATA 攻击链(卡巴斯基)
MATA 恶意软件迭代详情
值得一提的是,研究人员发现,在攻击目标是 Linux 服务器适用情况下,网络攻击者采用了 ELF 文件形式的 MATA Linux 变种,其功能似乎与第三代 Windows 植入程序类似。
卡巴斯基在对三种新版本 MATA 恶意软件取样研究发现,一种(v3)是从过去攻击中出现的第二代恶意软件演变而来,第二种(v4)被称为 "MataDoor",第三种(v5)则是从零开始编写的。
最新版 MATA 采用 DLL 形式,具有远程控制功能,支持与控制服务器的多协议(TCP、SSL、PSSL、PDTLS)连接,并支持代理(SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM)服务器链。第五代 MATA 支持包括设置连接、执行植入管理和检索信息等在内的 23 种操作。
vanilla MATA 支持的最重要命令如下:
0x003: 使用特定命令集连接 C2 服务器。
0x001:启动新的客户端会话,管理来自 Buffer-box 的各种命令。
0x006: 使用特定延迟和队列命令安排重新连接。
0x007: 返回详细的系统和恶意软件信息、加密密钥、插件路径等。
0x00d:配置受害者 ID 和连接参数等重要设置。
0x020: 启动与 C2 服务器的连接并转发流量。
0x022:探测与给定 C2 服务器和代理列表的活动连接。
恶意软件还加载了其他插件,使其能够执行另外 75 项命令,这些命令主要涉及信息收集、进程管理、文件管理、网络侦察、代理功能和远程 shell 执行。
记录的活动时间(GMT)(卡巴斯基)
不仅如此,研究人员还发现了一种新恶意软件模块,该模块可以利用 USB 等可移动存储介质感染空气间隙系统;还有多种能够捕获凭证、cookie、屏幕截图和剪贴板内容的窃取程序,以及 EDR/安全绕过工具。
研究人员在报告中指出,网络攻击者利用公开的 CVE-2021-40449 漏洞利用程序(被称为 "CallbackHell")绕过了 EDR 和安全工具,利用这一工具,网络攻击者可以改变内核内存并锁定特定的回调例程,从而使端点安全工具失效。如果上述绕过方法失败,网络攻击者便会改用之前记录的“自带漏洞驱动程序”(BYOVD)技术。
攻击者针对的防病毒软件(卡巴斯基)
值得一提的是,对于 MATA 恶意软件的来源目前仍旧存在许多疑点,卡巴斯基此前将 MATA 恶意软件与黑客组织 Lazarus 联系在一起,但较新的 MATA 变种和技术(如 TTLV 序列化、多层协议和握手机制)却与 Purple、Magenta 和 Green Lambert 等 APT 组织如更为相似。
