Contenido de Detección: MATA, un marco de malware multiplataforma del grupo Lazarus APT

[post-views]
julio 29, 2020 · 2 min de lectura
Contenido de Detección: MATA, un marco de malware multiplataforma del grupo Lazarus APT

La semana pasada, los investigadores informaron sobre la última herramienta notoria del APT Lazarus, que ha sido utilizada en los ataques del grupo desde la primavera de 2018. Su nuevo ‘juguete’ fue nombrado MATA, es un framework modular multiplataforma con varios componentes, incluyendo un cargador, orquestador y múltiples plugins que pueden ser utilizados para infectar sistemas Windows, Linux y macOS. El grupo Lazarus utilizó MATA para el despliegue de ransomware y robo de datos en ataques dirigidos a entidades corporativas de Polonia, Alemania, Turquía, Corea, Japón e India.

El framework MATA es capaz de cargar plugins en la memoria del sistema atacado para ejecutar comandos, manipular archivos y procesos, inyectar DLLs, crear proxies y túneles HTTP en dispositivos Windows. Los adversarios también pueden usar los plugins de MATA para escanear nuevos objetivos en máquinas basadas en macOS y Linux, y los investigadores descubrieron un módulo que se puede usar para configurar servidores proxy en la plataforma macOS.

Osman Demir publicó una regla comunitaria que ayuda a las soluciones de seguridad a descubrir esta amenaza: https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensa

Técnicas: Modificar Registro (T1112), Instrumentación de Administración de Windows (T1047)

 

Cabe destacar que a finales del año pasado, los investigadores de Qihoo 360 Netlab también publicaron información sobre algunas modificaciones de este framework, que llamaron Dacls. El contenido para su detección también fue desarrollado por los participantes del Programa de Recompensas por Amenazas:

Dacls RAT (Malware Linux de Lazarus) por Ariel Millahuelhttps://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

Regla de detección APT38 – Lazarus Dacls RAT Win/Linux por Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko