MATA,2020年最危险的多平台恶意软件框架

卡巴斯基的安全研究人员近日发现了一个名为“MATA”的活跃多平台恶意软件框架,该框架功能非常全面,支持Windows、Linux和MacOS等多个主流平台,拥有多个组件,例如加载程序、编排器和插件,全球企业都在其攻击“射程”范围内。

[[336465]]

在官方博客上,卡巴斯基实验室(Kaspersky Lab)透露已经与威胁情报门户(Threat Intelligence Portal)的客户共享了MATA的研究信息,主要内容如下:

与MATA有关的第一批工件出现在2018年4月。然后,恶意软件框架的幕后行为者积极地渗透包括波兰、德国、土耳其、韩国、日本和印度在内的全球范围的企业实体。已经发现的受害者中有一家软件公司、一家电子商务企业和一家互联网服务提供商(ISP)。

通过对已知攻击的分析,研究者弄清楚了该恶意软件框架的目的。例如,在一个组织中,恶意行为者使用该框架查询受害者的数据库,以获取客户列表。攻击者还利用MATA分发了VHD勒索软件。

MATA三个版本(Windows、Linux和MacOS)的主要信息如下:

1. Windows 版本

​​

Windows 版本 MATA的组件 来源:卡巴斯基实验室

MATA的Windows版本由几个组件组成,其中包括装载程序恶意软件和编排器元素。装在程序使用硬编码的十六进制字符串调用加密的有效负载。此操作为协调器加载插件文件并在内存中执行它们铺平了道路。这些插件使攻击者能够篡改文件,创建HTTP代理服务器并执行其他任务。

(1) 加载器

该加载器采用一个硬编码的十六进制字符串,将其转换为二进制并对其进行AES解密,以获得有效负载文件的路径。每个加载程序都有一个硬编码的路径来加载加密的有效负载。然后,将有效负载文件进行AES解密并加载。

从一个受感染的受害者那发现的加载程序恶意软件中,研究人员发现执行加载程序恶意软件的父进程是“C:\Windows\System32\wbem\WmiPrvSE.exe”进程。WmiPrvSE.exe进程是“WMI Provider Host进程”,通常意味着参与者已从远程主机执行了该加载程序恶意软件,以进行横向移动。因此,攻击者很可能是使用此加载程序来破坏同一网络中的其他主机。

(2) Orchestrator编排器和插件

研究者在受害者计算机上的lsass.exe进程中发现了Orchestrator编排器恶意软件。该编排器恶意软件从注册表项加载加密的配置数据,并使用AES算法对其解密。除非注册表值存在,否则恶意软件会使用硬编码的配置数据。以下是来自一个编排器恶意软件样本的配置值示例:

​​

编排器可以同时加载15个插件。有三种加载方式:

  • 从指定的HTTP或HTTPS服务器下载插件
  • 从指定的磁盘路径加载AES加密的插件文件
  • 从当前的MataNet连接下载插件文件

2. 非Windows版本

MATA框架不仅针对Windows系统,而且针对Linux和macOS系统。Linux版本的MATA在合法的发行站点上可用,而macOS变体作为木马两步验证(2FA)应用程序提供。

(1) Linux版本

研究者发现了一个包含不同MATA文件和一套黑客工具的软件包。可以在合法的分发站点上找到该软件包,这可能表明这是分发恶意软件的方式。它包括Windows MATA编排器,用于列出文件夹的Linux工具,用于利用Atlassian Confluence Server(CVE-2019-3396)的脚本,合法的socat工具以及与一组插件捆绑在一起的MATA Orchestrator的Linux版本。中国安全厂商360的网络安全研究院发布过有关该恶意软件的详细博客(https://blog.netlab.360.com/dacls-the-dual-platform-rat-en/)。

(2) MacOS版本

研究人员还在2020年4月8日发现了一个上传到VirusTotal的攻击macOS的MATA恶意软件余本。恶意苹果硬盘镜像文件是一个基于开源双因子认证应用MinaOTP的木马化macOS应用。

​​

木马化 macOS 应用 来源:卡巴斯基实验室

与其他跨平台恶意软件类似,macOS MATA恶意软件也以插件形式运行。插件列表与Linux版本几乎完全相同,但MacOS版本增加了一个名为“plugin_socks”的插件,该插件与“plugin_reverse_p2p” 类似,负责配置代理服务器。

(3) 幕后黑手

在研究报告中,卡巴斯基实验室将MATA恶意软件平台归因于著名的APT组织Lazarus:

我们评估了MATA框架与LazarusAPT组织之间的联系。MATA协调器使用两个唯一的文件名c_2910.cls和k_3872.cls,这些文件名以前仅在几种Manuscrypt变体中才能看到,包括在US-CERT出版物中提到的样本(0137f688436c468d43b3e50878ec1a1f)。

研究人员指出,由Lazarus发行的恶意软件家族Manuscrypt的变体与MATA共享了类似的配置结构。这意味着MATA与Lazarus很可能存在直接关联。卡巴斯基实验室表示,随着MATA恶意软件平台的发展,它将继续对其进行监控。

失陷指标

文件哈希(恶意文档、木马、电子邮件、诱饵)

(1) Windows加载器

f364b46d8aafff67271d350b8271505a
85dcea03016df4880cebee9a70de0c02
1060702fe4e670eda8c0433c5966feee
7b068dfbea310962361abf4723332b3a
8e665562b9e187585a3f32923cc1f889
6cd06403f36ad20a3492060c9dc14d80
71d8b4c4411f7ffa89919a3251e6e5cb
a7bda9b5c579254114fab05ec751918c
e58cfbc6e0602681ff1841afadad4cc6
7e4e49d74b59cc9cc1471e33e50475d3
a93d1d5c2cb9c728fda3a5beaf0a0ffc
455997E42E20C8256A494FA5556F7333
7ead1fbba01a76467d63c4a216cf2902
7d80175ea344b1c849ead7ca5a82ac94
bf2765175d6fce7069cdb164603bd7dc
b5d85cfaece7da5ed20d8eb2c9fa477c
6145fa69a6e42a0bf6a8f7c12005636b
2b8ff2a971555390b37f75cb07ae84bd
1e175231206cd7f80de4f6d86399c079
65632998063ff116417b04b65fdebdfb
ab2a98d3564c6bf656b8347681ecc2be
e3dee2d65512b99a362a1dbf6726ba9c
fea3a39f97c00a6c8a589ff48bcc5a8c
2cd1f7f17153880fd80eba65b827d344
582b9801698c0c1614dbbae73c409efb
a64b3278cc8f8b75e3c86b6a1faa6686
ca250f3c7a3098964a89d879333ac7c8
ed5458de272171feee479c355ab4a9f3
f0e87707fd0462162e1aecb6b4a53a89
f1ca9c730c8b5169fe095d385bac77e7
f50a0cd229b7bf57fcbd67ccfa8a5147

(2) Windows MATA

bea49839390e4f1eb3cb38d0fcaf897e rdata.dat
8910bdaaa6d3d40e9f60523d3a34f914
sdata.dat
6a066cf853fe51e3398ef773d016a4a8
228998f29864603fd4966cadd0be77fc

(3) 注册表路径

 

HKLM\Software\Microsoft\KxtNet
HKLM\Software\Microsoft\HlqNet
HKLM\Software\mthjk

 

(4) Linux MATA

 

859e7e9a11b37d355955f85b9a305fec mdata.dat
80c0efb9e129f7f9b05a783df6959812 ldata.dat,mdata.dat
d2f94e178c254669fb9656d5513356d2 mdata.dat

 

(5) Linux日志收集器

982bf527b9fe16205fea606d1beed7fa hdata.dat

(6) 开源Linux SoCat

e883bf5fd22eb6237eb84d80bbcf2ac9 sdata.dat

(7) 利用Atlassian Confluence Server的脚本

a99b7ef095f44cf35453465c64f0c70c check.vm,r.vm
199b4c116ac14964e9646b2f27595156 r.vm

(8) macOS MATA

81f8f0526740b55fe484c42126cd8396 TinkaOTP.dmg
f05437d510287448325bac98a1378de1 SubMenu.nib

C2服务器地址

104.232.71.7:443
107.172.197.175:443
108.170.31.81:443
111.90.146.105:443
111.90.148.132:443
172.81.132.41:443
172.93.184.62:443
172.93.201.219:443
185.62.58.207:443
192.210.239.122:443
198.180.198.6:443
209.90.234.34:443
216.244.71.233:443
23.227.199.53:443
23.227.199.69:443
23.254.119.12:443
67.43.239.146:443
68.168.123.86:443

【本文是IDC.NET专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

​​戳这里,看该作者更多好文​​   

【责任编辑:​​赵宁宁​​ TEL:(010)68476606】

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/133688.html<

(0)
管理的头像管理
上一篇2025-02-28 19:33
下一篇 2025-02-28 19:34

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注