Conteúdo de Detecção: Framework de malware multiplataforma MATA pelo Lazarus APT

[post-views]
Julho 29, 2020 · 2 min de leitura
Conteúdo de Detecção: Framework de malware multiplataforma MATA pelo Lazarus APT

Na semana passada, pesquisadores relataram sobre a mais nova e notória ferramenta do APT Lazarus, que tem sido usada nos ataques do grupo desde a primavera de 2018. Seu novo ‘brinquedo’ foi nomeado MATA, é uma estrutura modular multiplataforma com vários componentes, incluindo um carregador, orquestrador e múltiplos plugins que podem ser usados para infectar sistemas Windows, Linux e macOS. O grupo Lazarus usou o MATA para a implantação de ransomware e roubo de dados em ataques que visavam entidades corporativas da Polônia, Alemanha, Turquia, Coreia, Japão e Índia.

O framework MATA é capaz de carregar plugins na memória do sistema atacado para executar comandos, manipular arquivos e processos, injetar DLLs, criar proxies HTTP e túneis em dispositivos Windows. Os adversários também podem usar os plugins MATA para escanear novos alvos em máquinas baseadas em macOS e Linux, e os pesquisadores descobriram um módulo que pode ser usado para configurar servidores proxy na plataforma macOS.

Osman Demir publicou uma regra comunitária que ajuda as soluções de segurança a descobrir essa ameaça: https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Execução, Evasão de Defesa

Técnicas: Modificar Registro (T1112), Instrumentação de Gerenciamento do Windows (T1047)

 

Vale ressaltar que no final do ano passado, os pesquisadores da Qihoo 360 Netlab também publicaram informações sobre algumas modificações deste framework, que chamaram de Dacls. O conteúdo para sua detecção também foi desenvolvido pelos participantes do Programa Threat Bounty:

Dacls RAT (Malware Linux do Lazarus) por Ariel Millahuelhttps://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

Regra de detecção APT38 – Lazarus Dacls RAT Win/Linux por Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/


Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou participe do Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Blog, Plataforma SOC Prime — 3 min de leitura
A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Steven Edwards
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko