Contenu de Détection : Cadre de malware multiplateforme MATA par Lazarus APT

[post-views]
juillet 29, 2020 · 2 min de lecture
Contenu de Détection : Cadre de malware multiplateforme MATA par Lazarus APT

La semaine dernière, des chercheurs ont signalé le dernier outil notoire de l’APT Lazarus, qui est utilisé dans les attaques du groupe depuis le printemps 2018. Leur nouveau ‘jouet’ a été nommé MATA, c’est un cadre modulaire multiplateforme avec plusieurs composants, y compris un chargeur, un orchestrateur et de multiples plugins qui peuvent être utilisés pour infecter les systèmes Windows, Linux et macOS. Le groupe Lazarus a utilisé MATA pour le déploiement de ransomware et le vol de données dans des attaques ciblant des entités corporatives de Pologne, d’Allemagne, de Turquie, de Corée, du Japon et d’Inde.

Le cadre MATA est capable de charger des plugins dans la mémoire du système attaqué pour exécuter des commandes, manipuler des fichiers et des processus, injecter des DLLs, créer des proxies et des tunnels HTTP sur les appareils Windows. Les adversaires peuvent également utiliser les plugins MATA pour rechercher de nouvelles cibles sur les machines basées sur macOS et Linux, et les chercheurs ont découvert un module qui peut être utilisé pour configurer des serveurs proxy sur la plateforme macOS.

Osman Demir a publié une règle communautaire qui aide les solutions de sécurité à découvrir cette menace : https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Exécution, Évasion de Défense

Techniques : Modification du Registre (T1112), Instrumentation de gestion Windows (T1047)

 

Il est à noter qu’à la fin de l’année dernière, les chercheurs de Qihoo 360 Netlab ont également publié des informations sur certaines modifications de ce cadre, qu’ils ont appelé Dacls. Le contenu de leur détection a également été développé par les participants du Threat Bounty Program :

Dacls RAT (Malware Linux du groupe Lazarus) par Ariel Millahuelhttps://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

Règle de détection APT38 – Lazarus Dacls RAT Win/Linux par Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko