黑客24小时在线接单网站

黑客24小时在线接单网站,黑客接单,接单网站,黑客入口

2022年04月08日

MATA,2020年最危险的多平台恶意软件框架

卡巴斯基的安全研究人员近日发现了一个名为“MATA”的活跃多平台恶意软件框架,该框架功能非常全面,支持Windows、Linux和MacOS等多个主流平台,拥有多个组件,例如加载程序、编排器和插件,全球企业都在其攻击“射程”范围内。

在官方博客上,卡巴斯基实验室(Kaspersky Lab)透露已经与威胁情报门户(Threat Intelligence Portal)的客户共享了MATA的研究信息,主要内容如下:

与MATA有关的第一批工件出现在2018年4月。然后,恶意软件框架的幕后行为者积极地渗透包括波兰、德国、土耳其、韩国、日本和印度在内的全球范围的企业实体。已经发现的受害者中有一家软件公司、一家电子商务企业和一家互联网服务提供商(ISP)。

通过对已知攻击的分析,研究者弄清楚了该恶意软件框架的目的。例如,在一个组织中,恶意行为者使用该框架查询受害者的数据库,以获取客户列表。攻击者还利用MATA分发了VHD勒索软件。

MATA三个版本(Windows、Linux和MacOS)的主要信息如下:

1. Windows 版本

Windows 版本 MATA的组件 来源:卡巴斯基实验室

MATA的Windows版本由几个组件组成,其中包括装载程序恶意软件和编排器元素。装在程序使用硬编码的十六进制字符串调用加密的有效负载。此操作为协调器加载插件文件并在内存中执行它们铺平了道路。这些插件使攻击者能够篡改文件,创建HTTP代理服务器并执行其他任务。

(1) 加载器

该加载器采用一个硬编码的十六进制字符串,将其转换为二进制并对其进行AES解密,以获得有效负载文件的路径。每个加载程序都有一个硬编码的路径来加载加密的有效负载。然后,将有效负载文件进行AES解密并加载。

从一个受感染的受害者那发现的加载程序恶意软件中,研究人员发现执行加载程序恶意软件的父进程是“C:\Windows\System32\wbem\WmiPrvSE.exe”进程。WmiPrvSE.exe进程是“WMI Provider Host进程”,通常意味着参与者已从远程主机执行了该加载程序恶意软件,以进行横向移动。因此,攻击者很可能是使用此加载程序来破坏同一网络中的其他主机。

(2) Orchestrator编排器和插件

研究者在受害者计算机上的lsass.exe进程中发现了Orchestrator编排器恶意软件。该编排器恶意软件从注册表项加载加密的配置数据,并使用AES算法对其解密。除非注册表值存在,否则恶意软件会使用硬编码的配置数据。以下是来自一个编排器恶意软件样本的配置值示例:

编排器可以同时加载15个插件。有三种加载方式:

  • 从指定的HTTP或HTTPS服务器下载插件

  • 从指定的磁盘路径加载AES加密的插件文件

  • 从当前的MataNet连接下载插件文件

2. 非Windows版本

MATA框架不仅针对Windows系统,而且针对Linux和macOS系统。Linux版本的MATA在合法的发行站点上可用,而macOS变体作为木马两步验证(2FA)应用程序提供。

(1) Linux版本

研究者发现了一个包含不同MATA文件和一套黑客工具的软件包。可以在合法的分发站点上找到该软件包,这可能表明这是分发恶意软件的方式。它包括Windows MATA编排器,用于列出文件夹的Linux工具,用于利用Atlassian Confluence Server(CVE-2019-3396)的脚本,合法的socat工具以及与一组插件捆绑在一起的MATA Orchestrator的Linux版本。中国安全厂商360的网络安全研究院发布过有关该恶意软件的详细博客(https://blog.netlab.360.com/dacls-the-dual-platform-rat-en/)。

(2) MacOS版本

研究人员还在2020年4月8日发现了一个上传到VirusTotal的攻击macOS的MATA恶意软件余本。恶意苹果硬盘镜像文件是一个基于开源双因子认证应用MinaOTP的木马化macOS应用。

木马化 macOS 应用 来源:卡巴斯基实验室

与其他跨平台恶意软件类似,macOS MATA恶意软件也以插件形式运行。插件列表与Linux版本几乎完全相同,但MacOS版本增加了一个名为“plugin_socks”的插件,该插件与“plugin_reverse_p2p” 类似,负责配置代理服务器。

(3) 幕后黑手

MATA的受害者地理分布 来源:卡巴斯基实验室

在研究报告中,卡巴斯基实验室将MATA恶意软件平台归因于著名的APT组织Lazarus:

我们评估了MATA框架与LazarusAPT组织之间的联系。MATA协调器使用两个唯一的文件名c_2910.cls和k_3872.cls,这些文件名以前仅在几种Manuscrypt变体中才能看到,包括在US-CERT出版物中提到的样本(0137f688436c468d43b3e50878ec1a1f)。

研究人员指出,由Lazarus发行的恶意软件家族Manuscrypt的变体与MATA共享了类似的配置结构。这意味着MATA与Lazarus很可能存在直接关联。卡巴斯基实验室表示,随着MATA恶意软件平台的发展,它将继续对其进行监控。

失陷指标

文件哈希(恶意文档、木马、电子邮件、诱饵)

(1) Windows加载器

  • f364b46d8aafff67271d350b8271505a
  • 85dcea03016df4880cebee9a70de0c02
  • 1060702fe4e670eda8c0433c5966feee
  • 7b068dfbea310962361abf4723332b3a
  • 8e665562b9e187585a3f32923cc1f889
  • 6cd06403f36ad20a3492060c9dc14d80
  • 71d8b4c4411f7ffa89919a3251e6e5cb
  • a7bda9b5c579254114fab05ec751918c
  • e58cfbc6e0602681ff1841afadad4cc6
  • 7e4e49d74b59cc9cc1471e33e50475d3
  • a93d1d5c2cb9c728fda3a5beaf0a0ffc
  • 455997E42E20C8256A494FA5556F7333
  • 7ead1fbba01a76467d63c4a216cf2902
  • 7d80175ea344b1c849ead7ca5a82ac94
  • bf2765175d6fce7069cdb164603bd7dc
  • b5d85cfaece7da5ed20d8eb2c9fa477c
  • 6145fa69a6e42a0bf6a8f7c12005636b
  • 2b8ff2a971555390b37f75cb07ae84bd
  • 1e175231206cd7f80de4f6d86399c079
  • 65632998063ff116417b04b65fdebdfb
  • ab2a98d3564c6bf656b8347681ecc2be
  • e3dee2d65512b99a362a1dbf6726ba9c
  • fea3a39f97c00a6c8a589ff48bcc5a8c
  • 2cd1f7f17153880fd80eba65b827d344
  • 582b9801698c0c1614dbbae73c409efb
  • a64b3278cc8f8b75e3c86b6a1faa6686
  • ca250f3c7a3098964a89d879333ac7c8
  • ed5458de272171feee479c355ab4a9f3
  • f0e87707fd0462162e1aecb6b4a53a89
  • f1ca9c730c8b5169fe095d385bac77e7
  • f50a0cd229b7bf57fcbd67ccfa8a5147

    • (2) Windows MATA

  • bea49839390e4f1eb3cb38d0fcaf897erdata.dat
  • 8910bdaaa6d3d40e9f60523d3a34f914
  • sdata.dat
  • 6a066cf853fe51e3398ef773d016a4a8
  • 228998f29864603fd4966cadd0be77fc

    • (3) 注册表路径

  • HKLM\Software\Microsoft\KxtNet
  • HKLM\Software\Microsoft\HlqNet
  • HKLM\Software\mthjk

    • (4) Linux MATA

  • 859e7e9a11b37d355955f85b9a305fecmdata.dat
  • 80c0efb9e129f7f9b05a783df6959812ldata.dat,mdata.dat
  • d2f94e178c254669fb9656d5513356d2mdata.dat

    • (5) Linux日志收集器

  • 982bf527b9fe16205fea606d1beed7fahdata.dat

    • (6) 开源Linux SoCat

  • e883bf5fd22eb6237eb84d80bbcf2ac9sdata.dat

    • (7) 利用Atlassian Confluence Server的脚本

  • a99b7ef095f44cf35453465c64f0c70ccheck.vm,r.vm
  • 199b4c116ac14964e9646b2f27595156r.vm

    • (8) macOS MATA

  • 81f8f0526740b55fe484c42126cd8396TinkaOTP.dmg
  • f05437d510287448325bac98a1378de1SubMenu.nib

    • C2服务器地址

  • 104.232.71.7:443
  • 107.172.197.175:443
  • 108.170.31.81:443
  • 111.90.146.105:443
  • 111.90.148.132:443
  • 172.81.132.41:443
  • 172.93.184.62:443
  • 172.93.201.219:443
  • 185.62.58.207:443
  • 192.210.239.122:443
  • 198.180.198.6:443
  • 209.90.234.34:443
  • 216.244.71.233:443
  • 23.227.199.53:443
  • 23.227.199.69:443
  • 23.254.119.12:443
  • 67.43.239.146:443
  • 68.168.123.86:443

    • 【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

    戳这里,看该作者更多好文

    【责任编辑:赵宁宁TEL:(010)68476606】

    标签:恶意软件 MATA 网络攻击 

    作者:访客 , 分类:黑客入口 , 浏览:1132 , 评论:2

    • 评论列表:
    •  俗了清风1
       发布于 2022-05-28 16:11:34  回复该评论
    • 件文件2. 非Windows版本MATA框架不仅针对Windows系统,而且针对Linux和macOS系统。Linux版本的MATA在合法的发行站点上可用,而macOS变体作为木马两步验证(2FA)应用程序提供。
    •  鸽吻清晓
       发布于 2022-05-28 22:13:51  回复该评论
    • 者中有一家软件公司、一家电子商务企业和一家互联网服务提供商(ISP)。通过对已知攻击的分析,研究者弄清楚了该恶意软件框架的目的。例如,在一个组织中,恶意行为者使用该框架查询受害者的数据库,以获取客户列表。攻击者还利用MATA分发了VHD勒索软件。MATA三个版本(Windows、Linux和

    发表评论:

    «    2024年8月    »
    1234
    567891011
    12131415161718
    19202122232425
    262728293031
    文章归档
    标签列表

    Powered By

    Copyright Your WebSite.Some Rights Reserved.