A caixa de ferramentas cibercriminosas está em constante evolução. O exemplo mais recente: a estrutura maliciosa MATA, descoberta por nossos especialistas há pouco tempo. Os criminosos cibernéticos estavam usando-a para atacar infraestruturas corporativas em todo o mundo. Ela pode funcionar em vários sistemas operacionais e possui uma ampla variedade de ferramentas.
Potencialmente, os malfeitores podem usar a MATA para uma ampla variedade de finalidades. No entanto, nos casos que analisamos, eles tentavam encontrar e roubar informações de bancos de dados de clientes na infraestrutura das vítimas. Em pelo menos um caso, também usaram o MATA para espalhar ransomware (nossos especialistas prometem um estudo separado sobre esse incidente).
A esfera de interesse dos criminosos era bastante ampla. Entre as vítimas identificadas estavam desenvolvedores de software, provedores de Internet, sites de comércio eletrônico e outros. A geografia do ataque também foi bastante extensa – detectamos traços da atividade do grupo na Polônia, Alemanha, Turquia, Coréia, Japão e Índia.
Por que chamamos o MATA de estrutura?
O MATA não é simplesmente um malware rico em recursos. É um tipo de construtor para carregar ferramentas como e quando necessário. Vamos começar com o fato de que o MATA pode atacar computadores que executam os três sistemas operacionais mais populares: Windows, Linux e macOS.
Windows
Primeiro, nossos especialistas detectaram ataques direcionados a máquinas Windows. Eles ocorrem em várias etapas. No início, os operadores executavam um carregador no computador da vítima que implantava o chamado módulo orquestrador, que, por sua vez, baixava módulos capazes de uma variedade de funções maliciosas.
Dependendo das características do cenário de ataque específico, os módulos podem ser carregados de um servidor HTTP ou HTTPS remoto, de um arquivo criptografado no disco rígido ou transferidos pela infraestrutura MataNet por uma conexão TLS 1.2. Os diversos plug-ins da MATA podem:
- Executar cmd.exe/c ou powershell.exe com parâmetros adicionais e coletar respostas a esses comandos;
- Manipular processos (remover, criar etc.);
- Verificar se há uma conexão TCP com um endereço específico (ou intervalo de endereços);
- Criar um servidor proxy HTTP aguardando conexões TCP de entrada;
- Manipular arquivos (escrever dados, envie, apagar conteúdo, etc.);
- Injetar arquivos DLL nos processos em execução;
- Conectar-se a servidores remotos.
Linux e macOS
Em uma investigação mais aprofundada, nossos especialistas encontraram um conjunto semelhante de ferramentas para Linux. Além da versão Linux do orquestrador e plug-ins, ele continha o utilitário de linha de comando Socat legítimo e scripts para explorar a vulnerabilidade CVE-2019-3396 no Atlassian Confluence Server.
O conjunto de plug-ins é um pouco diferente daquele do Windows. Em particular, há um plug-in extra pelo qual o MATA tenta estabelecer uma conexão TCP usando a porta 8291 (usada para administrar dispositivos executando o RouterOS) e a porta 8292 (usada no software Bloomberg Professional). Se a tentativa de estabelecer uma conexão for bem-sucedida, o plug-in transferirá o log para o servidor C&C. Presume-se que a função serve para localizar novos alvos.
Quanto às ferramentas do macOS, elas foram encontradas em um aplicativo trojanizado baseado em software de código aberto. Em termos de funcionalidade, a versão do macOS era quase idêntica à do seu primo Linux.
Você encontrará uma descrição técnica detalhada da estrutura, juntamente com indicadores de comprometimento, nesta postagem do Securelist.
Como se proteger?
Nossos especialistas vinculam a MATA ao grupo Lazarus APT e os ataques realizados com essa estrutura são definitivamente direcionados. Os pesquisadores estão certos de que a MATA continuará evoluindo. Portanto, recomendamos que mesmo as pequenas empresas pensem em implantar tecnologias avançadas para se proteger não apenas das ameaças em massa, mas também de tipos mais complexos. Especialmente para estes casos, oferecemos uma solução integrada que combina a funcionalidade Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR) com ferramentas adicionais. Você pode aprender mais sobre isso em nosso site.