مجموعه ابزار مجرمان سایبری پیوسته در حال تکامل و پیشرفت است. نمونهی آخرش، فریمورک مخرب MATA که متخصصین ما به تازگی از آن پرده برداشتند. مجرمان سایبری در حقیقت داشتند از آن برای حمله به زیرساختهای سازمانی در سراسر جهان استفاده میکردند. MATA میتواند تحت سیستمعاملهای مختلفی کار کرده و طیف وسیعی از ابزارهای آلوده را به رخ جهان بکشاند. در ادامه همراه شوید تا ضمن بررسی نحوهی عملکرد این فریمورک، راهکاری امنیتی را نیز خدمتتان ارائه دهیم.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به طور بالقوه، مهاجمین میتوانند از MATA برای انواع مختلفی از مقاصد جنایی (جنایت سایبری) استفاده کنند؛ با این حال در پروندههایی که ما مورد بررسی قرار دادیم مجرمان سایبری در تلاش بودند تا دادههایی را از پایگاههای اطلاعاتی کلاینت در زیرساخت قربانیها پیدا نموده و سرقت کنند. دستکم در یک پرونده، مجرمان سایبری همچنین از MATA برای پخش باجافزار استفاده کردند (متخصصین ما قول میدهند مطالعه و بررسی جداگانهای را به این رخداد اختصاص دهند). حوزه مورد علاقه مهاجمین بسیار وسیع بود. از بین قربانیهای شناساییشدهی MATA میتوان به توسعهدهندگان نرمافزار، ارائهدهندگان اینترنت، سایتهای تجارت الکترونیک (و البته کلی موارد دیگر) اشاره کرد.
جغرافیای حمله همچنین بسیار گسترده بود- ما ردپاهایی از فعالیت این گروه در لهستان، آلمان، ترکیه، کره، ژاپن و هند پیدا کردیم.
چرا به MATA میگوییم فریمورک؟
MATA صرفاً یک تکه بدافزار با قابلیتهای بالا نیست؛ نوعی سازه است برای لود کردن ابزارها آن هم به محض اینکه بدانها نیاز شد. بگذارید این حقیقت را بازگو گنیم که MATA میتواند با اجرای سه تا از محبوبترین سیستمعاملها به کامپیوترها حمله کند: ویندوز، لینوکس و macOS.
ویندوز
نخست اینکه، وقتی متخصصین ما حملات MATA را شناسایی کردند که داشتند ماشینهای ویندوزی را مورد هدف قرار میدادند. این حملات در چندین مرحله اتفاق افتاد. در ابتدا، اپراتورهای MATA لودری را روی کامپیوتر قربانی اجرا کردند که کارش به خدمت گرفتن ماژول اصطلاحاً ارکستراتور (رهبر) بود؛ که در عوض ماژولهایی که انواعی از کارکردهای مخرب را بلد بودند دانلود میکرد. بسته به مشخصههای این سناریوی خاص حمله، ماژولها توانستند از HTTP ریموت، سرور HTTPS یا از فایلی رمزگذاریشده روی هارددرایو لود شده یا از طریق زیرساخت MataNet بواسطهی یک اتصال TLS 1.2 انتقال داده شوند.
پلاگینهای متنوع MATA میتوانند:
• cmd.exe /c یا powershell.exe را با پارامترهای اضافی اجرا کرده و پاسخ به این فرمانها را جمعآوری کنند
• فرآیندها را دستکاری کنند (حذف، ساخت، غیره)
• اتصال TCP را با یک آدرس خاص (یا طیفی از آدرسها) چک کنند
• یک پروکسی سرور HTTP بسازند که منتظر کانکشنهای TCP ورودی باشد
• فایلها را دستکاری کنند (داده بنویسند، ارسال کنند، محتوا را حذف کنند و غیره)
• فایلهای DLL را در فرآیندهای در حال اجرا تزریق کنند
• به سرورهای ریموت متصل شوند
لینوکس و macOS
متخصصین ما با تحقیقات بیشتر به مجموعه ابزار مشابهی برای لینوکس نیز دست یافتند. علاوه بر نسخهی لینوکسی ماژول ارکستراتور و پلاگینها، این مجموعه شامل ابزار قانونی خط فرمان و اسکریپت هایی برای اکسپلویت کردن آسیبپذیری CVE-2019-3396 در سرور Atlassian Confluence میشد. این مجموعه پلاگین با نسخهی ویندوزیاش فرق دارد. به طور خاص، پلاگین اضافی وجود دارد که از طریق آن MATA سعی دارد با استفاده از پورت 8291 (قبلاً دستگاههایی را که RouterOS اجرا میکردند مدیریت میکرد) و پورت 8292 (در نرمافزار Bloomberg Professional از آن استفاده میشد) کانکشن TCP برقرار کند. اگر اقدام برای برقراری کانکشن موفق باشد، پلاگین لاگ را به سرور C&C انتقال میدهد. اینطور حدس زده میشود که این کارکرد مأموریتش پیدا کردن تارگتهای جدید باشد. ابزارهای macOS نیز در اپ تروجانزدهای بر اساس نرمافزاری منبع باز پیدا شدند. نسخهی macOS از حیث کارکرد تقریباً مانند همتای لینوکسیاش بود.
چطور در امان بمانیم؟
متخصصین ما MATA را به گروه Lazarus APT ربط دادند و حملات انجامشده با این فریمورک به طور قطع حملاتی هدفدار بودهاند. محققین مطمئنند MATA همچنان جای رشد و رخنه دارد. از این رو، توصیهی ما این است که حتی شرکتهای کوچک هم به فکر اتخاذ فناوریهای پیشرفته برای محافظت در برابر نه تنها تهدیدهای تودهای که حتی تهدیدهای بس پیچیدهتر نیز باشند. ما به طور خاص راهکاری یکپارچه که EPP و EDR را با ابزارهای اضافی دیگر ترکیب میکند پیشنهاد میدهیم.