Si chiama MATA il nuovo framework malware multipiattaforma identificato dai ricercatori di sicurezza e in grado di colpire i sistemi operativi Windows, macOS e Linux con ransomware e attacchi di spionaggio informatico mirati.
Il potente framework, dotato di una vasta gamma di strumenti dannosi, secondo gli stessi ricercatori, sembrerebbe essere opera del gruppo APT nordcoreano Lazarus, già resosi responsabile nel 2017 della diffusione del famigerato ransomware Wannacry.
Versione Windows – I dettagli funzionali
MATA nella versione Windows risulta composta da diverse componenti:
- Un loader per caricare in un percorso hardcoded il payload crittografato (processo esecutivo principale WmiPrvSE.exe).
- Un modulo di orchestrazione (processo nascosto in lsass.exe) per il caricamento dei dati di configurazione e l’esecuzione in memoria di un blocco di 15 plug-in aggiuntivi, ognuno dei quali (file .DLL nella versione Windows) fornisce diverse funzionalità per il controllo completo delle macchine infette.
- Un server di comando e controllo C2 che scelto da un pool di indirizzi disponibili instaura una connessione TLS1.2 per la comunicazione segreta all’interno della cosiddetta infrastruttura client/server criminale MataNet, da cui prende il nome il framework malevolo.
A seconda delle caratteristiche dello scenario di attacco, i plug-in possono essere caricati da un server HTTP/HTTPS remoto, da un file crittografato sul disco rigido o trasferiti attraverso la suddetta infrastruttura MataNet e svolgere determinate azioni, come eseguire comandi cmd/powershell, manipolare processi e file, verificare connessioni TCP, creare server proxy HTTP, iniettare file DLL nei processi in esecuzione e connettersi a server remoti.
Le varianti per Linux e MacOS
Ulteriori indagini hanno rilevato un set di strumenti similari anche per colpire i sistemi operativi Linux e MacOS.
In particolare la versione MATA per Linux contiene oltre al modulo di orchestrazione dedicato, un tool sysadmin socat, degli script per sfruttare la vulnerabilità CVE-2019-3396 (Atlassian Confluence Server) e tra gli altri un particolare plug-in con funzioni log che implementa un comando di scansione per stabilire una connessione TCP sulle porte 8291 (utilizzata per l’amministrazione dei dispositivi RouterOS) e 8292 (utilizzata per il software Bloomberg Professional).
Infine nella versione per macOS, che presenta molte affinità con la versione Linux, gli strumenti malevoli sono stati rilevati all’interno di un software trojanizzato e basato su di un’applicazione open source per l’autenticazione a due fattori.
I casi esaminati
Secondo i ricercatori questa campagna malevola, attiva dall’aprile del 2018, avrebbe colpito diverse società nei settori dello sviluppo di software, dell’e-commerce e dei provider ISP presenti in Polonia, Germania, Turchia, Corea, Giappone e India. Inoltre è stato possibile identificare la paternità del framework MATA, collegandola al gruppo APT nordcoreano, solo scoprendo nel modulo di orchestrazione due file inequivocabili, rispettivamente un certificato (c_2910.cls) e una chiave privata (k_3872.cls) già adoperati in diverse varianti del malware Manuscrypt, un noto strumento di matrice Lazarus.
In pratica in tutti i casi esaminati, dopo avere ottenuto il pieno accesso all’infrastruttura target, gli attaccanti criminali hanno cercato di individuare e interrogare tramite query i database aziendali nel tentativo di carpire ulteriori dettagli e informazioni della clientela. In un unico caso il framework è stato invece utilizzato per diffondere il ransomware VHD.
Come contrastare il framework MATA
Anche se gli attacchi effettuati sinora sono stati decisamente mirati, non si può escludere che questo framework MATA non continui ad evolversi e diffondersi in modo ancora più esteso.
È pertanto raccomandabile che tutte le aziende si attrezzino, contro queste tipologie di minacce sofisticate, implementando delle tecnologie di protezione avanzate (ad esempio con soluzioni di sicurezza basate su intelligenza artificiale e machine learning), pur continuando a garantire sempre un approccio proattivo con l’adozione sia di sistemi di backup per la continuità dei servizi e il recupero veloce dei dati eventualmente compromessi da un attacco ransomware, sia di filtri anti-spam e anti-malware, prestando attenzione ai finti aggiornamenti software, alle tecniche drive by download e phishing comunemente utilizzati per veicolare malware.
È importante, inoltre, implementare gli Indicatori di Compromissione (pubblicati) sui propri apparati di sicurezza aziendali.
