Il set di strumenti di cui dispongono i cybercriminali è in continua evoluzione. L’esempio più recente: il pericoloso framework MATA recentemente scoperto dai nostri esperti. I criminali informatici lo hanno utilizzato per attaccare infrastrutture aziendali in tutto il mondo. Può funzionare con vari sistemi operativi e vanta un’ampia gamma di strumenti dannosi.
I cybercriminali possono potenzialmente utilizzare MATA per una grande varietà di scopi. Tuttavia, nei casi che abbiamo analizzato, i criminali informatici cercavano di ottenere dati dai database dei clienti nelle infrastrutture delle vittime. In almeno un caso, hanno anche usato MATA per diffondere dei ransomware (i nostri esperti elaboreranno uno studio a parte su questo incidente).
Il raggio di azione dei cybercriminali era piuttosto ampio. Tra le vittime identificate di MATA vi erano sviluppatori di software, provider Internet, siti di e-commerce e altro. Anche la geografia dell’attacco era piuttosto estesa, abbiamo rilevato tracce dell’attività del gruppo in Polonia, Germania, Turchia, Corea, Giappone e India.
MATA: perché si tratta di un framework?
MATA non è semplicemente un malware dalle numerose funzionalità. È una sorta di “costruttore” che carica i tool quando e come richiesto. E poi MATA può attaccare i computer che impiegano i tre sistemi operativi più diffusi: Windows, Linux e macOS.
Windows
In primo luogo, i nostri esperti hanno rilevato attacchi MATA rivolti a dispositivi Windows. Essi si svolgono in diverse fasi. All’inizio, gli operatori MATA avviano un loader sul computer della vittima che impiega il cosiddetto modulo orchestratore, che, a sua volta, scarica moduli capaci di tutta una serie di funzionalità dannose.
A seconda delle caratteristiche dello specifico scenario di attacco, i moduli possono essere caricati da un server HTTP o HTTPS remoto, da un file cifrato sul disco rigido o trasferiti attraverso l’infrastruttura MataNet su una connessione TLS 1.2. I plug-in MATA assortiti possono:
- Eseguire cmd.exe /c o powershell.exe con parametri aggiuntivi e raccogliere le risposte a questi comandi;
- Manipolare processi (rimuovere, creare, ecc.);
- Verificare la presenza di una connessione TCP con un indirizzo specifico (o un intervallo di indirizzi);
- Creare un server proxy HTTP in attesa di connessioni TCP in entrata;
- Manipolare i file (scrivere dati, inviare o eliminare contenuti, ecc.);
- Iniettare file DLL nei processi in corso;
- Connettersi a server remoti.
Linux e macOS
In seguito a ulteriori indagini, i nostri esperti hanno rilevato una serie di strumenti simili anche per Linux. Oltre alla versione Linux del modulo orchestratore e dei plug-in, questo set contiene l’utility legittima a riga di comando Socat e gli script per sfruttare la vulnerabilità CVE-2019-3396 di Atlassian Confluence Server.
Il set di plug-in è in qualche modo diverso da quello di Windows. In particolare, c’è un plug-in aggiuntivo attraverso il quale MATA cerca di stabilire una connessione TCP utilizzando la porta 8291 (utilizzata per amministrare i dispositivi che eseguono RouterOS) e la porta 8292 (utilizzata nel software Bloomberg Professional). Se il tentativo di stabilire una connessione ha successo, il plug-in trasferisce il registro al server C&C. Presumibilmente, questa funzione serve a localizzare nuovi obiettivi.
Per quanto riguarda gli strumenti macOS, sono stati individuati in un’applicazione trojanizzata basata su un software open-source. In termini di funzionalità, la versione di macOS è quasi identica al suo cugino Linux.
Per una descrizione tecnica dettagliata del framework e per gli indicatori di compromissione, potete leggere il nostro post su Securelist.
Come difendersi
I nostri esperti vedono un collegamento tra MATA e il gruppo APT Lazarus: gli attacchi perpetrati con questo framework sono decisamente mirati. I ricercatori sono certi che il framework MATA continuerà a evolversi. Pertanto, consigliamo anche alle piccole imprese di pensare all’impiego di tecnologie avanzate per proteggersi non solo dalle minacce su larga scala, ma anche da quelle più complesse. In particolare, offriamo una soluzione integrata che combina le funzionalità Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR) con strumenti aggiuntivi. Per maggiori informazioni, potete consultare la nostra pagina dedicata.