O sofisticado Framework MATA atinge empresas de petróleo e gás do leste europeu
20 de Outubro de 2023

Uma versão atualizada de um sofisticado framework de backdoor chamado MATA foi usada em ataques direcionados a mais de uma dúzia de empresas do Leste Europeu nos setores de petróleo e gás e indústria de defesa, como parte de uma operação de espionagem cibernética que ocorreu entre agosto de 2022 e maio de 2023.

"Os autores do ataque usaram e-mails de spear-phishing para atingir várias vítimas, algumas foram infectadas com malware executável do Windows, baixando arquivos através de um navegador da internet," disse a Kaspersky em um novo relatório exaustivo publicado esta semana.

"Cada documento de phishing contém um link externo para buscar uma página remota contendo um exploit CVE-2021-26411 ."

CVE-2021-26411 (pontuação CVSS: 8.8) se refere a uma vulnerabilidade de corrupção de memória no Internet Explorer que poderia ser acionada para executar código arbitrário, enganando uma vítima para visitar um site especialmente criado.

Foi explorado anteriormente pelo Grupo Lazarus no início de 2021 para atingir pesquisadores de segurança.

O framework multiplataforma MATA foi documentado pela primeira vez pela empresa russa de segurança cibernética em julho de 2020, ligando-o à prolífica equipe patrocinada pelo estado da Coréia do Norte em ataques direcionados a vários setores na Polônia, Alemanha, Turquia, Coréia, Japão e Índia desde abril de 2018.

O uso de uma versão reformulada do MATA para atingir contratantes de defesa foi divulgado anteriormente pela Kaspersky em julho de 2023, embora a atribuição ao Grupo Lazarus permaneça tênue na melhor das hipóteses, devido à presença de técnicas usadas por atores do APT Five Eyes, como Purple Lambert, Magenta Lambert e Green Lambert.

Dito isso, a maioria dos documentos maliciosos do Microsoft Word criados pelos atacantes apresenta uma fonte coreana chamada Malgun Gothic, sugerindo que o desenvolvedor esteja familiarizado com o coreano ou trabalhe em um ambiente coreano.

A empresa russa de segurança cibernética Positive Technologies, que compartilhou detalhes do mesmo framework no mês passado, está rastreando os operadores sob o pseudônimo Dark River.

"A principal ferramenta do grupo, o backdoor MataDoor, possui uma arquitetura modular, com um sistema complexo e bem projetado de transportes de rede e opções flexíveis de comunicação entre o operador do backdoor e uma máquina infectada", disseram os pesquisadores de segurança Denis Kuvshinov e Maxim Andreev.

"A análise do código sugere que os desenvolvedores investiram recursos consideráveis na ferramenta."
Os ataques mais recentes começam com o ator enviando documentos de spear-phishing para os alvos, em alguns casos se passando por funcionários legítimos, indicando reconhecimento prévio e uma preparação extensa.

Esses documentos incluem um link para uma página HTML que incorpora um exploit para CVE-2021-26411 .

Uma invasão bem-sucedida leva à execução de um carregador que, por sua vez, recupera um módulo Validator de um servidor remoto para enviar informações do sistema e baixar e enviar arquivos para o servidor de comando e controle (C2).

O Validator também é projetado para buscar o MataDoor, que, de acordo com a Kasperksy, é a geração 4 do MATA equipada para executar uma ampla gama de comandos capaz de coletar informações sensíveis de sistemas comprometidos.

Os ataques também são caracterizados pelo uso de malware para capturar conteúdo da área de transferência, registrar as teclas digitadas, tirar capturas de tela e sifonar senhas e cookies do Gerenciador de Credenciais do Windows e do Internet Explorer.

Uma ferramenta digna de nota é um módulo de propagação USB que permite enviar comandos para o sistema infectado por meio de mídia removível, provavelmente permitindo que os atores de ameaças infiltrem redes isoladas.

Também é usado um exploit chamado CallbackHell para elevar privilégios e burlar produtos de segurança de endpoint para alcançar seus objetivos sem chamar atenção.

A Kaspersky disse que também descobriu uma nova variante do MATA, apelidada de geração 5 do MATA ou MATAv5, que foi "completamente reescrito do zero" e "exibe uma arquitetura avançada e complexa fazendo uso de módulos e plugins carregáveis e incorporados".

"O malware aproveita os canais de comunicação entre processos (IPC) internamente e emprega uma diversa gama de comandos, permitindo que ele estabeleça cadeias de proxy através de vários protocolos - também no ambiente da vítima", acrescentou a empresa.

No total, o framework MATA e seu coquetel de plugins incorporam suporte para mais de 100 comandos relacionados à coleta de informações, monitoramento de eventos, gerenciamento de processos, gerenciamento de arquivos, reconhecimento de rede e funcionalidade de proxy.
"O ator demonstrou altas capacidades de navegação através e aproveitamento de soluções de segurança implantadas no ambiente da vítima", disse a Kaspersky.

"Os invasores usaram muitas técnicas para esconder sua atividade: rootkits e drivers vulneráveis, disfarçando arquivos como aplicativos legítimos, usando portas abertas para comunicação entre aplicativos, criptografia de vários níveis de arquivos e atividade de rede de malware, [e] fixando tempos de espera longos entre as conexões com servidores de controle."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...