Contenuto di rilevamento: MATA framework malware multipiattaforma del gruppo APT Lazarus

[post-views]
Luglio 29, 2020 · 2 min di lettura
Contenuto di rilevamento: MATA framework malware multipiattaforma del gruppo APT Lazarus

La settimana scorsa, i ricercatori hanno segnalato il più recente strumento famigerato del gruppo APT Lazarus, che è stato utilizzato negli attacchi del gruppo dalla primavera del 2018. Il loro nuovo ‘giocattolo’ è stato chiamato MATA, è un framework modulare cross-platform con diversi componenti tra cui un loader, un orchestratore e diversi plugin che possono essere utilizzati per infettare sistemi Windows, Linux, e macOS. Il gruppo Lazarus ha usato MATA per il dispiegamento di ransomware e furto di dati in attacchi mirati ad aziende in Polonia, Germania, Turchia, Corea, Giappone e India.

Il framework MATA è capace di caricare plugin nella memoria del sistema attaccato per eseguire comandi, manipolare file e processi, iniettare DLL, creare proxy HTTP e tunnel su dispositivi Windows. Gli avversari possono anche utilizzare i plugin MATA per scansionare nuovi obiettivi su macOS e macchine basate su Linux, e i ricercatori hanno scoperto un modulo che può essere utilizzato per configurare server proxy sulla piattaforma macOS.

Osman Demir ha pubblicato una regola comunitaria che aiuta le soluzioni di sicurezza a scoprire questa minaccia: https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione Difensiva

Tecniche: Modifica Registro (T1112), Strumentazione di Gestione Windows (T1047)

 

Vale la pena notare che alla fine dell’anno scorso, anche i ricercatori di Qihoo 360 Netlab hanno pubblicato informazioni su alcune modifiche a questo framework, che hanno chiamato Dacls. Il contenuto per la loro rilevazione è stato anche sviluppato dai partecipanti al Threat Bounty Program:

Dacls RAT (Malware Linux di Lazarus) di Ariel Millahuelhttps://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

APT38 – Regola di rilevamento Dacls RAT Win/Linux di Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/


Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.