Bleeping Computer 網(wǎng)站披露，2022 年 8 月至 2023 年 5 月期間，研究人員在針對(duì)東歐石油天然氣公司和國防工業(yè)的攻擊活動(dòng)中發(fā)現(xiàn)了 MATA 后門框架的新變種。

從研究人員發(fā)布的信息來看，網(wǎng)絡(luò)攻擊者采用魚叉式網(wǎng)絡(luò)釣魚電子郵件，誘騙目標(biāo)下載惡意可執(zhí)行文件，利用 Internet Explorer 中的 CVE-2021-26411 啟動(dòng)感染鏈，本次更新后的 MATA 框架結(jié)合了一個(gè)加載器、一個(gè)主木馬和一個(gè)信息竊取器，可在目標(biāo)網(wǎng)絡(luò)中打開后門并獲得“持久性”。

網(wǎng)絡(luò)攻擊者濫用 EDR

2022 年 9 月，網(wǎng)絡(luò)安全公司卡巴斯基發(fā)現(xiàn)了多個(gè)屬于 MATA 組織的新惡意軟件樣本。進(jìn)一步分析顯示，網(wǎng)絡(luò)攻擊者破壞了目標(biāo)組織子公司之間相連的財(cái)務(wù)軟件服務(wù)器的網(wǎng)絡(luò)系統(tǒng)， 可見，網(wǎng)絡(luò)攻擊者已將其“立足點(diǎn)”從生產(chǎn)工廠的單個(gè)域控制器擴(kuò)展到整個(gè)公司網(wǎng)絡(luò)。

攻擊鏈繼續(xù)向下，網(wǎng)絡(luò)攻擊者先后訪問了兩個(gè)安全解決方案管理面板，其中一個(gè)用于端點(diǎn)保護(hù)，另一個(gè)用于合規(guī)性檢查。獲得安全軟件管理面板的訪問權(quán)限后，網(wǎng)絡(luò)攻擊者對(duì)該組織的基礎(chǔ)設(shè)施實(shí)施監(jiān)控，并向其子公司傳播惡意軟件。

MATA 攻擊鏈（卡巴斯基）

MATA 惡意軟件迭代詳情

值得一提的是，研究人員發(fā)現(xiàn)，在攻擊目標(biāo)是 Linux 服務(wù)器適用情況下，網(wǎng)絡(luò)攻擊者采用了 ELF 文件形式的 MATA Linux 變種，其功能似乎與第三代 Windows 植入程序類似。

卡巴斯基在對(duì)三種新版本 MATA 惡意軟件取樣研究發(fā)現(xiàn)，一種（v3）是從過去攻擊中出現(xiàn)的第二代惡意軟件演變而來，第二種（v4）被稱為 "MataDoor"，第三種（v5）則是從零開始編寫的。

最新版 MATA 采用 DLL 形式，具有遠(yuǎn)程控制功能，支持與控制服務(wù)器的多協(xié)議（TCP、SSL、PSSL、PDTLS）連接，并支持代理（SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM）服務(wù)器鏈。第五代 MATA 支持包括設(shè)置連接、執(zhí)行植入管理和檢索信息等在內(nèi)的 23 種操作。

vanilla MATA 支持的最重要命令如下：

• 0x003: 使用特定命令集連接 C2 服務(wù)器。
• 0x001：啟動(dòng)新的客戶端會(huì)話，管理來自 Buffer-box 的各種命令。
• 0x006: 使用特定延遲和隊(duì)列命令安排重新連接。
• 0x007: 返回詳細(xì)的系統(tǒng)和惡意軟件信息、加密密鑰、插件路徑等。
• 0x00d： 配置受害者 ID 和連接參數(shù)等重要設(shè)置。
• 0x020: 啟動(dòng)與 C2 服務(wù)器的連接并轉(zhuǎn)發(fā)流量。
• 0x022：探測與給定 C2 服務(wù)器和代理列表的活動(dòng)連接。

惡意軟件還加載了其他插件，使其能夠執(zhí)行另外 75 項(xiàng)命令，這些命令主要涉及信息收集、進(jìn)程管理、文件管理、網(wǎng)絡(luò)偵察、代理功能和遠(yuǎn)程 shell 執(zhí)行。

記錄的活動(dòng)時(shí)間（GMT）（卡巴斯基）

不僅如此，研究人員還發(fā)現(xiàn)了一種新惡意軟件模塊，該模塊可以利用 USB 等可移動(dòng)存儲(chǔ)介質(zhì)感染空氣間隙系統(tǒng)；還有多種能夠捕獲憑證、cookie、屏幕截圖和剪貼板內(nèi)容的竊取程序，以及 EDR/安全繞過工具。

研究人員在報(bào)告中指出，網(wǎng)絡(luò)攻擊者利用公開的 CVE-2021-40449 漏洞利用程序（被稱為 "CallbackHell"）繞過了 EDR 和安全工具，利用這一工具，網(wǎng)絡(luò)攻擊者可以改變內(nèi)核內(nèi)存并鎖定特定的回調(diào)例程，從而使端點(diǎn)安全工具失效。如果上述繞過方法失敗，網(wǎng)絡(luò)攻擊者便會(huì)改用之前記錄的“自帶漏洞驅(qū)動(dòng)程序”（BYOVD）技術(shù)。

攻擊者針對(duì)的防病毒軟件（卡巴斯基）

值得一提的是，對(duì)于 MATA 惡意軟件的來源目前仍舊存在許多疑點(diǎn)，卡巴斯基此前將 MATA 惡意軟件與黑客組織 Lazarus 聯(lián)系在一起，但較新的 MATA 變種和技術(shù)（如 TTLV 序列化、多層協(xié)議和握手機(jī)制）卻與  Purple、Magenta 和 Green Lambert 等 APT 組織如更為相似。

文章來源：https://www.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/