Жертвами MATA оказались представители разных отраслей по всему миру.
Специалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру.
Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии.
Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий нечто вроде «командного центра» (оркестратора), а он в свою очередь скачивает необходимые модули.
В зависимости от атаки модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2. Плагины MATA способны запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.
Позже эксперты обнаружили аналогичный набор инструментов для Linux и macOS, в котором присутствовала легитимная утилита для командной строки Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.
Как полагают специалисты, MATA связана с киберпреступной группировкой Lazarus. Оркестратор MATA использует два уникальных имени файла, c_2910.cls и k_3872.cls, ранее замеченные только в нескольких вариантах вредоноса Manuscrypt, который группировка Lazarus использовала в ряде кибератак. Кроме того, MATA использует глобальные данные конфигурации, включая случайно сгенерированный идентификатор сеанса, информацию о версии на основе даты, интервал ожидания и несколько адресов C&C-серверов. Один из вариантов Manuscrypt имеет похожую структуру конфигурации с инфраструктурой MATA.
Гравитация научных фактов сильнее, чем вы думаете