MATA: Ein Multi-Plattform-Malware-Framework

Unsere Experten haben ein Malware-Framework aufgedeckt, welches von Cyberkriminellen für Angriffe auf verschiedene Betriebssysteme verwendet wird.

Das Instrumentarium der Cyberkriminalität entwickelt sich ständig weiter. Das jüngste Beispiel: das bösartige MATA-Framework, das unsere Experten vor kurzem aufgedeckt haben. Cyberkriminelle nutzten es, um Unternehmensinfrastrukturen auf der ganzen Welt anzugreifen. Es greift verschiedene Betriebssysteme an und es verfügt über eine breite Palette bösartiger Tools.

Theoretisch können Übeltäter MATA für eine Vielzahl von kriminellen Zwecken nutzen. In den von uns analysierten Fällen versuchten die Cyberkriminellen jedoch, Daten aus Kundendatenbanken in der Infrastruktur der Opfer zu lokalisieren und zu stehlen. In mindestens einem Fall benutzten sie MATA auch zur Verbreitung von Ransomware (unsere Experten leiten eine separate Untersuchung dieses Vorfalls).

Der Interessenbereich der Angreifer war breitgefächert. Unter den identifizierten Opfern von MATA waren Software-Entwickler, Internet-Provider, Online-Shops und andere. Auch die Angriffsgeografie war recht umfangreich. So entdeckten wir Spuren der Aktivitäten der Gruppe in Polen, Deutschland, der Türkei, Korea, Japan und Indien.

Wieso wir MATA als Framework klassifizieren

MATA ist nicht einfach ein nur funktionsreiches Stück Malware. Es ist eine Art Dirigent, der bei Bedarf schädliche Werkzeuge herunterlädt. Beginnen wir mit der Tatsache, dass MATA Computer mit den drei beliebtesten Betriebssystemen angreifen kann: Windows, Linux und MacOS.

Windows

Zunächst entdeckten unsere Experten MATA-Angriffe, die Windows-Computer ins Visier nahmen. Die Angriffsstruktur ist mehrstufig. Zu Beginn führten die MATA-Benutzer einen Loader auf dem Computer des Opfers aus, der das so genannte Orchestrator-Modul einsetzte, das wiederum Module herunterlud, die eine Vielzahl von bösartigen Funktionen aufweisen.

Je nach den Charakteristiken des spezifischen Angriffsszenarios konnten die Module von einem entfernten HTTP- oder HTTPS-Server, aus einer verschlüsselten Datei auf der Festplatte geladen oder über die MataNet-Infrastruktur über eine TLS 1.2-Verbindung übertragen werden. Die verschiedenen MATA-Plugins können:

  • exe /c oder powershell.exe mit zusätzlichen Parametern ausführen und Antworten auf diese Befehle sammeln;
  • Prozesse manipulieren (entfernen, erstellen usw.);
  • nach einer TCP-Verbindung mit einer bestimmten Adresse (oder einem bestimmten Adressbereich) suchen;
  • Einen HTTP-Proxy-Server erstellen, der auf eingehende TCP-Verbindungen wartet;
  • Dateien manipulieren (Daten schreiben, senden, Inhalte löschen usw.);
  • DLL-Dateien in laufende Prozesse injizieren;
  • Verbindung zu entfernten Servern herstellen.

Linux und macOS

Bei weiteren Untersuchungen fanden unsere Experten einen ähnlichen Satz von Werkzeugen für Linux. Neben der Linux-Version des Orchestrators und der Plug-Ins enthielt es außerdem das legale Befehlszeilen-Programm Socat und Skripte zum Exploit der Schwachstelle CVE-2019-3396 in Atlassian Confluence Server.

Der Satz von Plug-Ins unterscheidet sich etwas von dem für Windows. Insbesondere gibt es ein zusätzliches Plug-in, durch das MATA versucht, eine TCP-Verbindung über Port 8291 (zur Verwaltung von Geräten, auf denen RouterOS läuft) und Port 8292 (der in Bloomberg Professional-Software verwendet wird) aufzubauen. Wenn der Verbindungsversuch erfolgreich ist, überträgt das Plug-in das Protokoll an den C&C-Server. Vermutlich dient die Funktion zum Auffinden neuer Ziele.

Was die MacOS-Tools betrifft, so wurden sie in einer trojanisierten Anwendung gefunden, die auf Open-Source-Software basiert. Hinsichtlich der Funktionalität war die macOS-Version fast identisch mit der Linux Version.

Eine detaillierte technische Beschreibung des Frameworks sowie Kompromittierungsindikatoren finden Sie im entsprechenden Beitrag auf Securelist.

Wie Sie sich schützen können

Unsere Experten verbinden MATA mit der APT-Gruppe Lazarus. Die durchgeführten Angriffe mit diesem Framework sind definitiv gezielte Angriffe. Die Forscher sind sich sicher, dass MATA sich weiter entwickeln wird. Deshalb empfehlen wir auch kleinen Unternehmen, über den Einsatz fortschrittlicher Technologien nachzudenken, um sich nicht nur gegen Massenbedrohungen, sondern auch gegen komplexere Bedrohungen zu schützen. Konkret bieten wir eine integrierte Lösung an, die die Funktionen der Endpoint Protection Platform (EPP) und der Endpoint Detection and Response (EDR) mit zusätzlichen Tools kombiniert. Mehr darüber können Sie auf unserer Website erfahren.

Tipps