El marco de malware MATA explota EDR en ataques a empresas de defensa

Entre agosto de 2022 y mayo de 2023 se detectó una versión actualizada del marco de puerta trasera MATA en ataques dirigidos a empresas de petróleo y gas y a la industria de defensa en Europa del Este.

Los ataques emplearon correos electrónicos de spear-phishing para engañar a los objetivos para que descargaran ejecutables maliciosos que explotan CVE-2021-26411 en Internet Explorer para iniciar la cadena de infección.

El marco MATA actualizado combina un cargador, un troyano principal y un ladrón de información para hacer una puerta trasera y ganar persistencia en las redes objetivo.

La versión de MATA en estos ataques es similar a las versiones anteriores vinculadas al grupo de hackers norcoreano Lazarus, pero con capacidades actualizadas.

En particular, la propagación del malware a través de todos los rincones accesibles de la red corporativa se produce al violar las soluciones de cumplimiento de seguridad y explotar sus fallas.

Abusar de EDR en los ataques

La empresa de ciberseguridad descubrió la actividad en septiembre de 2022 después de examinar dos muestras de MATA que se comunicaban con servidores de comando y control (C2) dentro de las redes de la organización violadas.

Un análisis más detallado reveló que los sistemas violados eran servidores de software financiero conectados a numerosas subsidiarias de la organización objetivo.

La investigación reveló que los piratas informáticos habían expandido su posición de un solo controlador de dominio en una planta de producción a toda la red corporativa.

El ataque continuó con los piratas informáticos accediendo a dos paneles de administración de soluciones de seguridad, uno para la protección de endpoints y otro para las comprobaciones de cumplimiento.

Los piratas informáticos abusaron del acceso al panel de administración del software de seguridad para realizar vigilancia en la infraestructura de la organización y difundir malware a sus subsidiarias.


Malware MATA actualizado

En los casos en los que los objetivos eran servidores Linux, los atacantes emplearon una variante Linux de MATA en forma de archivo ELF, que parece ser similar en funcionalidad a la tercera generación del implante de Windows.

Kaspersky dice que probó tres nuevas versiones del malware MATA: una (v3) evolucionó a partir de la segunda generación vista en ataques anteriores, una segunda (v4) denominada 'MataDoor' y una tercera (v5) que fue escrita desde cero.

La última versión de MATA viene en forma de DLL y cuenta con amplias capacidades de control remoto, admite conexiones multiprotocolo (TCP, SSL, PSSL, PDTLS) a los servidores de control y admite cadenas de servidores proxy (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM).

Los 23 comandos soportados por MATA quinta generación incluyen acciones para configurar la conectividad, realizar la gestión del implante y recuperar información.

Los comandos más importantes soportados por vanilla MATA son los siguientes:

• 0x003: Se conecta al servidor C2 mediante un conjunto de comandos específico.
• 0x001: Inicia una nueva sesión de cliente que administra varios comandos desde Buffer-box.
• 0x006: Programa una reconexión con retrasos específicos y comandos en cola.
• 0x007: Devuelve información detallada del sistema y del malware, claves de cifrado, rutas de complementos, etc.
• 0x00d: Configura ajustes vitales como VictimID y parámetros de conexión.
• 0x020: Inicia la conexión con el servidor C2 y reenvía el tráfico.
• 0x022: Sondea la conexión activa a los servidores C2 y a la lista de proxys.

Los complementos adicionales cargados en el malware le permiten lanzar otros 75 comandos relacionados con la recopilación de información, la gestión de procesos, la gestión de archivos, el reconocimiento de la red, la funcionalidad de proxy y la ejecución remota de shells.


Otros hallazgos interesantes incluyen un nuevo módulo de malware que puede aprovechar los medios de almacenamiento extraíbles como USB para infectar sistemas aislados, varios ladrones capaces de capturar credenciales, cookies, capturas de pantalla y contenido del portapapeles, y herramientas de omisión de seguridad / EDR.

Los investigadores informan de que los hackers eludieron el EDR y las herramientas de seguridad utilizando un exploit disponible públicamente para CVE-2021-40449, denominado 'CallbackHell'.

Al emplear esta herramienta, los atacantes alteran la memoria del kernel y apuntan a rutinas específicas de devolución de llamada, lo que hace que las herramientas de seguridad de endpoints sean ineficaces.

Si ese método de omisión fallaba, cambiaban a técnicas de Bring Your Own Vulnerable Driver (BYOVD) previamente documentadas.


La atribución no está clara

Aunque Kaspersky asoció previamente a MATA con el grupo de hackers Lazarus, respaldado por el estado de Corea del Norte, la firma de ciberseguridad tiene problemas para asociar la actividad observada recientemente con una alta confianza.

Aunque todavía hay vínculos aparentes con la actividad de Lazarus, las nuevas variantes y técnicas de MATA, como la serialización TTLV, los protocolos multicapa y los mecanismos de protocolo de enlace, se parecen más a los de los grupos APT de los 'Cinco Ojos' como Purple, Magenta y Green Lambert.

Además, la implementación de múltiples marcos de malware y versiones de marcos MATA en un solo ataque es muy poco común, lo que indica un actor de amenazas particularmente bien dotado de recursos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta