Erkennungsinhalt: MATA Multi-Plattform-Malware-Framework der Lazarus APT

[post-views]
Juli 29, 2020 · 2 min zu lesen
Erkennungsinhalt: MATA Multi-Plattform-Malware-Framework der Lazarus APT

Letzte Woche haben Forscher berichtet über das neueste berüchtigte Lazarus APT-Tool, das seit dem Frühjahr 2018 in den Angriffen der Gruppe verwendet wird. Ihr neues ‚Spielzeug‘ wurde MATA genannt, es handelt sich um ein modulares plattformübergreifendes Framework mit mehreren Komponenten, darunter ein Loader, Orchestrator und mehrere Plugins, die dazu verwendet werden können, Windows-, Linux- und macOS-Systeme zu infizieren. Die Lazarus-Gruppe nutzte MATA für die Ransomware-Bereitstellung und Datendiebstahl bei Angriffen auf Unternehmen in Polen, Deutschland, der Türkei, Korea, Japan und Indien.

Das MATA-Framework ist in der Lage, Plugins in den Speicher des angegriffenen Systems zu laden, um Befehle auszuführen, Dateien und Prozesse zu manipulieren, DLLs zu injizieren, HTTP-Proxys und Tunnels auf Windows-Geräten zu erstellen. Angreifer können die MATA-Plugins auch verwenden, um nach neuen Zielen auf macOS- und Linux-basierten Maschinen zu scannen, und Forscher entdeckten ein Modul, das zur Konfiguration von Proxy-Servern auf der macOS-Plattform verwendet werden kann.

Osman Demir veröffentlichte eine Community-Regel, die Sicherheitssystemen hilft, diese Bedrohung aufzudecken: https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Verteidigungsevasion

Techniken: Registrierung modifizieren (T1112), Windows-Verwaltungsinstrumentation (T1047)

 

Es ist erwähnenswert, dass Ende letzten Jahres auch Forscher von Qihoo 360 Netlab veröffentlichten Informationen über einige Modifikationen dieses Frameworks, das sie Dacls nannten. Der Inhalt für deren Erkennung wurde ebenfalls von den Teilnehmern des Threat Bounty Program entwickelt:

Dacls RAT (Lazarus’s Linux Malware) von Ariel Millahuelhttps://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

APT38 – Lazarus Dacls RAT Win/Linux-Erkennungsregel von Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/


Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko