탐지 콘텐츠: Lazarus APT의 MATA 멀티 플랫폼 악성코드 프레임워크

지난주 연구원들은 보고했습니다 최근 악명 높은 라자루스 APT 도구에 대해, 이 도구는 2018년 봄 이후 그룹의 공격에 사용되고 있습니다. 이들의 새로운 ‘장난감’은 MATA라고 명명되었으며, 로더, 오케스트레이터 및 여러 플러그인을 포함하는 모듈식 크로스 플랫폼 프레임워크로, Windows, Linux, macOS 시스템을 감염시킬 수 있습니다. 라자루스 그룹은 MATA를 사용하여 랜섬웨어 배포 및 데이터 절도를 통해 폴란드, 독일, 터키, 한국, 일본, 인도의 기업 단체를 대상으로 한 공격을 진행했습니다.

MATA 프레임워크는 공격한 시스템의 메모리에 플러그인을 로드하여 명령을 실행하고, 파일 및 프로세스를 조작하며, DLL을 주입하고, Windows 장치에 HTTP 프록시 및 터널을 생성할 수 있습니다. 공격자들은 또한 MATA 플러그인을 사용하여 macOS 및 Linux 기반의 새로운 대상 기기를 검색할 수 있으며, 연구자들은 macOS 플랫폼에서 프록시 서버를 구성할 수 있는 모듈을 발견했습니다.

오스만 데미르 보안 솔루션이 이 위협을 발견하는 데 도움을 주는 커뮤니티 규칙을 게시했습니다: https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 방어 회피

기술: 레지스트리 수정(T1112), Windows 관리 도구(T1047)

특히 작년 말, Qihoo 360 Netlab 연구원들은 또한 발표했습니다 이 프레임워크의 일부 수정 사항에 대한 정보를, 이를 Dacls라고 불렀습니다. 이들의 탐지를 위한 콘텐츠는 Threat Bounty Program 참가자들에 의해 개발되었습니다:

Dacls RAT (라자루스의 리눅스 멀웨어) – 아리엘 미야후엘 – https://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

APT38 – 라자루스 Dacls RAT Win/Linux 탐지 규칙 – Emanuele De Lucia https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신만의 콘텐츠를 작성하고 TDM 커뮤니티와 공유하세요.