更新的 MATA 攻击东欧的工业公司

更新的MATA攻击东欧的工业公司 卡巴斯基GReAT和ICS CERT Contents 攻击检测3实验室分析.技术细节-第1部分...................................................................................初始感染#1：恶意文件.............................................................................................初始感染＃2：可执行文件6的下载链接MATA “LLoader ” (LLibrary) 7MATA验证器7MataDoor (MATA第4代) 9装载机17MATA第3代17偷窃者25Screenshotter 25凭据窃取者25EDR /安全绕过工具27命令文件工具29事件调查30技术细节-第2部分。现场分析结果。31Linux MATA第3代32发现32横向移动32滥用安全合规解决方案33滥用反恶意软件解决方案35有趣的发现36使用可移动介质进行传播37MATA第5代40受害者49恶意基础设施50归因50相同的XOR键50 工作路径和命名方案51恶意文档中的韩文字体52威胁演员的时区52归因犹豫53结论54建议54妥协指标57 执行摘要 2022年9月初，卡巴斯基专家从MATA集群中发现了几起恶意软件，这些恶意软件先前归因于Lazars集团，损害了东欧的国防承包商公司。这项运动一直活跃到2023年5月。扩大我们的研究范围，我们调查并发现了额外的，新的，活跃的演员活动与全感染链，包括一个植入物，旨在通过USB记忆棒在空气间隙网络中工作，以及一个LixMATA后门。 更新的MATA恶意软件通过鱼叉式网络钓鱼技术分发到目标受害者，使用验证器在多个阶段部署恶意软件。该行为者还滥用了受害者在其环境中传播的各种安全和反恶意软件解决方案。新的MATA第3代和第4代对其加密，配置和通信协议进行了多次修改，其中之一似乎是从头开始重写的。新的MATA一代在规避网络限制方面引入了新的功能，允许参与者在受害者的网络中构建复杂的代理链，并创建用于C2（命令和控制）通信的各种通信协议的“堆栈”。 在这项研究中，我们还发现了一种新的MATA变体，我们称之为MATA第5代。这个复杂的恶意软件已经从头开始完全重写，展示了一种先进而复杂的架构，利用可加载和嵌入式模块和插件。MATAge.5能够在不同进程中作为服务和DLL运行。该恶意软件在内部利用进程间通信(IPC)通道，并使用各种命令，使其能够跨各种协议建立代理链-也在受害者的环境中。 欲了解更多信息，请联系：ics-cert@kaspersky.com或intelreports@kaspersky.com 攻击检测 2022年9月，卡巴斯基专家使用卡巴斯基安全网络监控安全解决方案的遥测，检测到与MATA集群相关的几十个以前未知的恶意软件样本。 我们在2020年详细介绍了该恶意软件平台，并在过去几年中多次记录了其在APT攻击中的使用情况。 特别是，引起我们注意的恶意软件样本包含字符串，表明该组织可能是攻击的受害者，看起来像是东欧的工业实体。我们立即联系了可能受到攻击的组织，以传达妥协的风险，并分享有关检测到的威胁和当时可用的妥协指标的信息。 一段时间后，我们收到了该组织员工的电话，通知我们他们使用其中一个管理员的帐户检测到与域控制器的连接，他们认为这是“可疑的”-有问题的管理员说他没有连接到域控制器。 因此，我们开始调查该组织网络中的一起事件，结果证明这只是一个更大故事的开始。 实验室分析.技术细节-第1部分 同时，当我们在实验室收集和分析相关遥测数据时，我们意识到该活动已于2022年8月中旬启动。攻击者使用鱼叉式网络钓鱼技术瞄准了几个受害者，而其他人则通过互联网浏览器下载文件而感染了Widows可执行恶意软件。攻击者继续通过电子邮件发送恶意文档，直到9月底。 在分析了每个恶意软件的时间表和功能之后，我们确定了此活动的感染链。尽管由于能见度有限，某些部分仍然未知，但我们已经拼凑了大部分感染链。攻击者使用了与以前的MATA集群类似的加载程序，主木马和窃取程序感染链的组合，并更新了每个恶意软件的功能。此外，他们引入了一个过程来验证受感染的受害者，以确保谨慎的恶意软件交付。 攻击者还利用用户模式rootkit来提升权限并绕过端点安全产品。这种增加的复杂性使他们能够在不被检测到的情况下运行并更有效地实现其目标。 初始感染#1：恶意文件 从几名受害者那里，我们观察到演员发送鱼叉式钓鱼文件。我们的调查显示，在某些情况下，攻击者冒充目标组织的合法雇员，表明他们在发动攻击之前进行了广泛的侦察并收集了敏感信息。 引诱文件的内容与目标业务无关。攻击者从互联网上可用的第三方网站获得了文档中的文本。拉撒路早些时候已经在2020年对国防工业设施的攻击中使用了该策略。 每个文档都包含一个外部链接，用于获取包含漏洞的远程页面。 根据我们的分析,获取的HTML页面包含一个CVE-2021-26411漏洞,该漏洞先前被Lazarus小组在针对安全研究人员的活动中使用。该漏洞利用代码类似于韩国安全公司Enki之前发布的。这次,琐碎的 添加了混淆，并修改了代码以获取下一阶段的有效负载（在这种情况下是Loader），而不是在内存中生成外壳代码。 我们观察到了用于获取下一阶段有效负载的几个文件名和URL： 示例# 3。var _ dN _ 03fc = 'TCD702. dll'var _ uL _ 0c42 ='hxxps: / / beeztrend [.] com / addcart? _ prdid = 59f9e991161246da90e548e1b3c158385b9b797f2bc54f2873c813960638f2ff & _ agent = 32'示例# 4。var _ dN _ 03fc = 'KAP008. dll'var _ uL _ 0c42 ='hxxps: / / cakeduer [.] com / addcart? _ prdid = 59f9e991161246da90e548e1b3c158388be410ddb858336ff0ac4ea2538b08bb & _ agent = 32 ' 初始感染＃2：可执行文件的下载链接 其中一名受害者被Windows可执行文件类型Downloader入侵。值得注意的是，此恶意软件是由基于Chromium的浏览器获取的，这意味着受害者通过单击恶意链接下载了恶意软件。我们怀疑该行为者通过电子邮件或其他消息传递平台向潜在受害者发送了恶意链接。 此恶意软件具有琐碎的功能，从远程服务器获取有效负载并在0x301字节XOR解密。 ●下载URL:hxxps://zawajonly[.]com/assets/profile.png●保存路径:% temp%\ systemupdate. dat 在生成获取的有效负载后，恶意软件会弹出一条虚假的“SystemUpdateFinished”消息。根据文件名和消息框，我们假设演员欺骗了受害者，认为该程序与合法的系统更新有关。 MATA"LLoader"(LLibrary) 一些受害者还通过我们之前提到的InternetExplorer漏洞感染了Loader恶意软件。 恶意软件中的重要字符串与1进行XOR。加载器有一个'荷载'具有简单功能的导出函数：从嵌入的URL中获取下一阶段的有效负载并将其保存到TCD701. dat文件。作者将此恶意软件命名为加载器(LLibrary). dll. ●下载URL:hxxps: / / tarzoose [.] com / fontsupdate? _ sid =2a854c3df9098019daa886ae6f3ecaa0 & - 36i - & _ ts = 60054a124ad9c11d2f0afa8f60a3b26f & -36i - & _ agent = 32●保存路径:% temp%\ TCD701. dat 我们发现了其中的几个加载器。actor维护下一阶段有效载荷的32位和64位版本，并且似乎根据受害者的主机架构提供合适的版本。 ●32位下载URL(MD591995c6813e20aad1a860d3e712787a6):hxxps: / /合并[.] com / fontsupdate? _ sid =f4ac3aabb25e724cc5af9280d07dfd25 & _ ts = afbeff c40cb8cec0639e6be9eba26c1e & _ agent = 32●64位下载URL(MD5a966668feca72d8dddf3c737d4908a29):hxxps: / /合并[.] com / fontsupdate? _ sid =f4ac3aabb25e724cc5af9280d07dfd25 & _ ts = afbeff c40cb8cec0639e6be9eba26c1e & _ agent = 64 MATA验证器 我们能够获取Loader恶意软件获取的有效负载。 此模块已使用STL用C++编写；libcurl在内部静态链接。启动时，恶意软件会解密嵌入的字符串。它包括以下C2服务器地址和recon命令以分析受害者。 ●hxxps: / / icimp. swarkul [.] com / wp - crond. php●hxxps: / / mbafleet [.] com / wp - crond. php●hxxps: / / prajeshpatel [.] com / wp - crond. php 在这个恶意软件中，有九个whoami命令，在启动时执行各种选项。根据这些选项，我们可以猜测恶意软件操作员想要获取当前用户的ActiveDirectory信息和权限。 这些命令执行的结果将被缓存，并将在C2通过命令＃102请求执行其中之一时返回。我们还发现了恶意软件作者留下的复活节彩蛋：当收到包含“whoami”的命令时，参数未包含在上表中，硬编码的响应是“KASPERSKY”。 恶意软件定期使用libcurl连接到C2服务器，执行握手，设置AES会话密钥和IV，并接收命令。 有一组嵌入但未使用的字符串，使我们假设此恶意软件可能存在于以下操作系统/平台： ●MacOS●iPhone●Linux●BSD●"其他AppleOS"●"其他Unix操作系统" MataDoor(MATA第4代) 根据我们的遥测，Validator恶意软件获取了一种不同类型的恶意软件，我们称之为MataDoor。在PositiveTechnologies的最新出版物中，对第三代MATA进行了分析，并将其命名为“MataDoor”。发生这种碰撞可能是因为卡巴斯基实验室产品自2022年秋季以来一直在检测第三代和第四代MATA家族的样品，即MataDoor。但是，当我们说“MataDoor”时，我们指的是MATA第4代。 我们发现的所有MataDoor样本都是Widows可执行文件，并伪装成合法程序，例如安全解决方案代理，VPN客户端，Adobe程序等。此外，几乎所有这些都是由Themida保护者包装的。在分析了MataDoor之后，我们得出结论，它是已知MATA的从头开始重写的变体。此恶意软件具有与旧MATA类似的全面功能来控制受害者。 启动时，恶意软件启动名为'wuausrv'的服务。此恶意软件包含嵌入的加密默认配置设置，并用0x261字节XOR对其进行解密。它可以从配置文件中保存/恢复其配置设置% TEMP%\ ocrcrypto. bak，是XOR0x55加密的。配置数据包含几个C2地址，预定义或随机生成的受害者ID，C2连接间隔和C2通信方式：主动，被动为多