Una versione aggiornata del framework backdoor MATA è stata rilevata in attacchi tra agosto 2022 e maggio 2023. Le aziende bersaglio operano nei settori del petrolio, del gas e della difesa nell’Europa orientale. Gli attacchi utilizzano email di spear-phishing per ingannare le vittime e iniziare la catena di infezione.
Abuso di EDR negli attacchi
Una società di cybersecurity ha scoperto l’attività nel settembre 2022 esaminando due campioni di MATA che comunicavano con server di comando e controllo all’interno delle reti delle organizzazioni violate. Ulteriori analisi hanno rivelato che i sistemi compromessi erano server software finanziari collegati a numerose filiali dell’organizzazione bersaglio. L’indagine ha mostrato che gli hacker hanno esteso la loro presenza da un singolo controller di dominio in un impianto di produzione all’intera rete aziendale. Gli attacchi sono proseguiti con gli hacker che hanno avuto accesso a due pannelli di amministrazione di soluzioni di sicurezza, utilizzandoli per sorvegliare l’infrastruttura dell’organizzazione e diffondere malware alle sue filiali.
Aggiornamenti del malware MATA
Nei casi in cui i bersagli erano server Linux, gli aggressori hanno utilizzato una variante Linux di MATA. Kaspersky ha identificato tre nuove versioni del malware MATA, con la versione più recente che presenta estese capacità di controllo remoto. Questa versione supporta connessioni multi-protocollo ai server di controllo e catene di server proxy. Il malware supporta 23 comandi principali, tra cui la connessione al server C2, l’iniziazione di nuove sessioni client e la restituzione di informazioni dettagliate sul sistema. Plugin aggiuntivi permettono al malware di lanciare altri 75 comandi legati alla raccolta di informazioni, gestione di processi e esecuzione di shell remote.
Metodi di bypass e strumenti di sicurezza
Gli hacker hanno bypassato gli strumenti EDR e di sicurezza utilizzando un exploit pubblicamente disponibile. Questo strumento permette agli attaccanti di alterare la memoria del kernel e di rendere inefficaci gli strumenti di sicurezza endpoint. Se questo metodo non riusciva, gli attaccanti ricorrevano a tecniche precedentemente documentate.
Attribuzione incerta
Sebbene in passato Kaspersky avesse associato MATA al gruppo di hacker nordcoreano Lazarus, la società di cybersecurity ha avuto difficoltà ad associare con certezza l’attività recentemente osservata. Ci sono ancora collegamenti evidenti con l’attività di Lazarus, ma le nuove varianti di MATA e le tecniche utilizzate somigliano di più a quelle di gruppi APT come Purple, Magenta e Green Lambert. L’uso di più framework malware e versioni del framework MATA in un singolo attacco è molto raro, indicando un attore minaccioso particolarmente ben finanziato.