Das Instrumentarium der Cyberkriminalit\u00e4t entwickelt sich st\u00e4ndig weiter. Das j\u00fcngste Beispiel: das b\u00f6sartige MATA-Framework, das unsere Experten vor kurzem aufgedeckt haben. Cyberkriminelle nutzten es, um Unternehmensinfrastrukturen auf der ganzen Welt anzugreifen. Es greift verschiedene Betriebssysteme an und es verf\u00fcgt \u00fcber eine breite Palette b\u00f6sartiger Tools.<\/p>\n
Theoretisch k\u00f6nnen \u00dcbelt\u00e4ter MATA f\u00fcr eine Vielzahl von kriminellen Zwecken nutzen. In den von uns analysierten F\u00e4llen versuchten die Cyberkriminellen jedoch, Daten aus Kundendatenbanken in der Infrastruktur der Opfer zu lokalisieren und zu stehlen. In mindestens einem Fall benutzten sie MATA auch zur Verbreitung von Ransomware (unsere Experten leiten eine separate Untersuchung dieses Vorfalls).<\/p>\n
Der Interessenbereich der Angreifer war breitgef\u00e4chert. Unter den identifizierten Opfern von MATA waren Software-Entwickler, Internet-Provider, Online-Shops und andere. Auch die Angriffsgeografie war recht umfangreich. So entdeckten wir Spuren der Aktivit\u00e4ten der Gruppe in Polen, Deutschland, der T\u00fcrkei, Korea, Japan und Indien.<\/p>\n
MATA ist nicht einfach ein nur funktionsreiches St\u00fcck Malware. Es ist eine Art Dirigent, der bei Bedarf sch\u00e4dliche Werkzeuge herunterl\u00e4dt. Beginnen wir mit der Tatsache, dass MATA Computer mit den drei beliebtesten Betriebssystemen angreifen kann: Windows, Linux und MacOS.<\/p>\n
Zun\u00e4chst entdeckten unsere Experten MATA-Angriffe, die Windows-Computer ins Visier nahmen. Die Angriffsstruktur ist mehrstufig. Zu Beginn f\u00fchrten die MATA-Benutzer einen Loader auf dem Computer des Opfers aus, der das so genannte Orchestrator-Modul einsetzte, das wiederum Module herunterlud, die eine Vielzahl von b\u00f6sartigen Funktionen aufweisen.<\/p>\n
Je nach den Charakteristiken des spezifischen Angriffsszenarios konnten die Module von einem entfernten HTTP- oder HTTPS-Server, aus einer verschl\u00fcsselten Datei auf der Festplatte geladen oder \u00fcber die MataNet-Infrastruktur \u00fcber eine TLS 1.2-Verbindung \u00fcbertragen werden. Die verschiedenen MATA-Plugins k\u00f6nnen:<\/p>\n
Bei weiteren Untersuchungen fanden unsere Experten einen \u00e4hnlichen Satz von Werkzeugen f\u00fcr Linux. Neben der Linux-Version des Orchestrators und der Plug-Ins enthielt es au\u00dferdem das legale Befehlszeilen-Programm Socat<\/a> und Skripte zum Exploit der Schwachstelle CVE-2019-3396 in Atlassian Confluence Server.<\/p>\n Der Satz von Plug-Ins unterscheidet sich etwas von dem f\u00fcr Windows. Insbesondere gibt es ein zus\u00e4tzliches Plug-in, durch das MATA versucht, eine TCP-Verbindung \u00fcber Port 8291 (zur Verwaltung von Ger\u00e4ten, auf denen RouterOS l\u00e4uft) und Port 8292<\/a> (der in Bloomberg Professional-Software verwendet wird) aufzubauen. Wenn der Verbindungsversuch erfolgreich ist, \u00fcbertr\u00e4gt das Plug-in das Protokoll an den C&C-Server. Vermutlich dient die Funktion zum Auffinden neuer Ziele.<\/p>\n Was die MacOS-Tools betrifft, so wurden sie in einer trojanisierten Anwendung gefunden, die auf Open-Source-Software basiert. Hinsichtlich der Funktionalit\u00e4t war die macOS-Version fast identisch mit der Linux Version.<\/p>\n Eine detaillierte technische Beschreibung des Frameworks sowie Kompromittierungsindikatoren finden Sie im entsprechenden Beitrag auf Securelist<\/a>.<\/p>\n Unsere Experten verbinden MATA mit der APT-Gruppe Lazarus. Die durchgef\u00fchrten Angriffe mit diesem Framework sind definitiv gezielte Angriffe. Die Forscher sind sich sicher, dass MATA sich weiter entwickeln wird. Deshalb empfehlen wir auch kleinen Unternehmen, \u00fcber den Einsatz fortschrittlicher Technologien nachzudenken, um sich nicht nur gegen Massenbedrohungen, sondern auch gegen komplexere Bedrohungen zu sch\u00fctzen. Konkret bieten wir eine integrierte L\u00f6sung an, die die Funktionen der Endpoint Protection Platform (EPP) und der Endpoint Detection and Response (EDR) mit zus\u00e4tzlichen Tools kombiniert. Mehr dar\u00fcber k\u00f6nnen Sie auf unserer Website<\/a> erfahren.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Unsere Experten haben ein Malware-Framework aufgedeckt, welches von Cyberkriminellen f\u00fcr Angriffe auf verschiedene Betriebssysteme verwendet wird.<\/p>\n","protected":false},"author":2581,"featured_media":24770,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3469,2920],"class_list":{"0":"post-24769","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-gezielte-angriffe","11":"tag-lazarus"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mata-framework\/24769\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mata-framework\/21618\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mata-framework\/17082\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mata-framework\/8456\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mata-framework\/22890\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mata-framework\/21077\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mata-framework\/19759\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mata-framework\/23556\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mata-framework\/22387\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mata-framework\/28793\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mata-framework\/8655\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mata-framework\/36458\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mata-framework\/15353\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mata-framework\/15887\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mata-framework\/13711\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mata-framework\/25729\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mata-framework\/22638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mata-framework\/27903\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mata-framework\/27739\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/gezielte-angriffe\/","name":"gezielte Angriffe"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24769"}],"version-history":[{"count":9,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24769\/revisions"}],"predecessor-version":[{"id":24782,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24769\/revisions\/24782"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24770"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie Sie sich sch\u00fctzen k\u00f6nnen<\/h2>\n