MATA，2020年最危险的多平台恶意软件框架

卡巴斯基的安全研究人员近日发现了一个名为“MATA”的活跃多平台恶意软件框架，该框架功能非常全面，支持Windows、Linux和MacOS等多个主流平台，拥有多个组件，例如加载程序、编排器和插件，全球企业都在其攻击“射程”范围内。

在官方博客上，卡巴斯基实验室(Kaspersky Lab)透露已经与威胁情报门户(ThreatIntelligencePortal)的客户共享了MATA的研究信息，主要内容如下：

与MATA有关的第一批工件出现在2018年4月。然后，恶意软件框架的幕后行为者积极地渗透包括波兰、德国、土耳其、韩国、日本和印度在内的全球范围的企业实体。已经发现的受害者中有一家软件公司、一家电子商务企业和一家互联网服务提供商(ISP)。

通过对已知攻击的分析，研究者弄清楚了该恶意软件框架的目的。例如，在一个组织中，恶意行为者使用该框架查询受害者的数据库，以获取客户列表。攻击者还利用MATA分发了VHD勒索软件。

MATA三个版本(Windows、Linux和MacOS)的主要信息如下：

1. Windows 版本

Windows 版本 MATA的组件 来源：卡巴斯基实验室

MATA的Windows版本由几个组件组成，其中包括装载程序恶意软件和编排器元素。装在程序使用硬编码的十六进制字符串调用加密的有效负载。此操作为协调器加载插件文件并在内存中执行它们铺平了道路。这些插件使攻击者能够篡改文件，创建HTTP代理服务器并执行其他任务。

(1) 加载器

该加载器采用一个硬编码的十六进制字符串，将其转换为二进制并对其进行AES解密，以获得有效负载文件的路径。每个加载程序都有一个硬编码的路径来加载加密的有效负载。然后，将有效负载文件进行AES解密并加载。

从一个受感染的受害者那发现的加载程序恶意软件中，研究人员发现执行加载程序恶意软件的父进程是“C:\Windows\System32\wbem\WmiPrvSE.exe”进程。WmiPrvSE.exe进程是“WMIProviderHost进程”，通常意味着参与者已从远程主机执行了该加载程序恶意软件，以进行横向移动。因此，攻击者很可能是使用此加载程序来破坏同一网络中的其他主机。

(2) Orchestrator编排器和插件

研究者在受害者计算机上的lsass.exe进程中发现了Orchestrator编排器恶意软件。该编排器恶意软件从注册表项加载加密的配置数据，并使用AES算法对其解密。除非注册表值存在，否则恶意软件会使用硬编码的配置数据。以下是来自一个编排器恶意软件样本的配置值示例：

编排器可以同时加载15个插件。有三种加载方式：

• 从指定的HTTP或HTTPS服务器下载插件
• 从指定的磁盘路径加载AES加密的插件文件
• 从当前的MataNet连接下载插件文件

2. 非Windows版本

MATA框架不仅针对Windows系统，而且针对Linux和macOS系统。Linux版本的MATA在合法的发行站点上可用，而macOS变体作为木马两步验证(2FA)应用程序提供。

(1) Linux版本

研究者发现了一个包含不同MATA文件和一套黑客工具的软件包。可以在合法的分发站点上找到该软件包，这可能表明这是分发恶意软件的方式。它包括WindowsMATA编排器，用于列出文件夹的Linux工具，用于利用AtlassianConfluenceServer(CVE-2019-3396)的脚本，合法的socat工具以及与一组插件捆绑在一起的MATAOrchestrator的Linux版本。中国安全厂商360的网络安全研究院发布过有关该恶意软件的详细博客(https://blog.netlab.360.com/dacls-the-dual-platform-rat-en/)。

(2) MacOS版本

研究人员还在2020年4月8日发现了一个上传到VirusTotal的攻击macOS的MATA恶意软件余本。恶意苹果硬盘镜像文件是一个基于开源双因子认证应用MinaOTP的木马化macOS应用。

木马化 macOS 应用 来源：卡巴斯基实验室

与其他跨平台恶意软件类似，macOSMATA恶意软件也以插件形式运行。插件列表与Linux版本几乎完全相同，但MacOS版本增加了一个名为“plugin_socks”的插件，该插件与“plugin_reverse_p2p”类似，负责配置代理服务器。

(3) 幕后黑手

MATA的受害者地理分布 来源：卡巴斯基实验室

在研究报告中，卡巴斯基实验室将MATA恶意软件平台归因于著名的APT组织Lazarus：

我们评估了MATA框架与LazarusAPT组织之间的联系。MATA协调器使用两个唯一的文件名c_2910.cls和k_3872.cls，这些文件名以前仅在几种Manuscrypt变体中才能看到，包括在US-CERT出版物中提到的样本(0137f688436c468d43b3e50878ec1a1f)。

研究人员指出，由Lazarus发行的恶意软件家族Manuscrypt的变体与MATA共享了类似的配置结构。这意味着MATA与Lazarus很可能存在直接关联。卡巴斯基实验室表示，随着MATA恶意软件平台的发展，它将继续对其进行监控。

失陷指标

文件哈希(恶意文档、木马、电子邮件、诱饵)

(1) Windows加载器

(2) Windows MATA

(3) 注册表路径

(4) Linux MATA

(5) Linux日志收集器

(6) 开源Linux SoCat

(7) 利用Atlassian Confluence Server的脚本

(8) macOS MATA

C2服务器地址

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

【责任编辑：赵宁宁 TEL：（010）68476606】

点赞 0