Contenuto di rilevamento: MATA framework malware multipiattaforma del gruppo APT Lazarus
La settimana scorsa, i ricercatori hanno segnalato il più recente strumento famigerato del gruppo APT Lazarus, che è stato utilizzato negli attacchi del gruppo dalla primavera del 2018. Il loro nuovo ‘giocattolo’ è stato chiamato MATA, è un framework modulare cross-platform con diversi componenti tra cui un loader, un orchestratore e diversi plugin che possono essere utilizzati per infettare sistemi Windows, Linux, e macOS. Il gruppo Lazarus ha usato MATA per il dispiegamento di ransomware e furto di dati in attacchi mirati ad aziende in Polonia, Germania, Turchia, Corea, Giappone e India.
Il framework MATA è capace di caricare plugin nella memoria del sistema attaccato per eseguire comandi, manipolare file e processi, iniettare DLL, creare proxy HTTP e tunnel su dispositivi Windows. Gli avversari possono anche utilizzare i plugin MATA per scansionare nuovi obiettivi su macOS e macchine basate su Linux, e i ricercatori hanno scoperto un modulo che può essere utilizzato per configurare server proxy sulla piattaforma macOS.
Osman Demir ha pubblicato una regola comunitaria che aiuta le soluzioni di sicurezza a scoprire questa minaccia: https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Evasione Difensiva
Tecniche: Modifica Registro (T1112), Strumentazione di Gestione Windows (T1047)
Vale la pena notare che alla fine dell’anno scorso, anche i ricercatori di Qihoo 360 Netlab hanno pubblicato informazioni su alcune modifiche a questo framework, che hanno chiamato Dacls. Il contenuto per la loro rilevazione è stato anche sviluppato dai partecipanti al Threat Bounty Program:
Dacls RAT (Malware Linux di Lazarus) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/
APT38 – Regola di rilevamento Dacls RAT Win/Linux di Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/
Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.