MATA 惡意軟件利用EDR攻擊東歐能源企業和國防工業

Bleeping Computer 網站披露，2022 年 8 月至 2023 年 5 月期間，研究人員在針對東歐石油天然氣公司和國防工業的攻擊活動中發現了 MATA 后門框架的新變種。

從研究人員發布的信息來看，網絡攻擊者采用魚叉式網絡釣魚電子郵件，誘騙目標下載惡意可執行文件，利用 Internet Explorer 中的 CVE-2021-26411 啟動感染鏈，本次更新后的 MATA 框架結合了一個加載器、一個主木馬和一個信息竊取器，可在目標網絡中打開后門并獲得“持久性”。

網絡攻擊者濫用 EDR

2022 年 9 月，網絡安全公司卡巴斯基發現了多個屬于 MATA 組織的新惡意軟件樣本。進一步分析顯示，網絡攻擊者破壞了目標組織子公司之間相連的財務軟件服務器的網絡系統， 可見，網絡攻擊者已將其“立足點”從生產工廠的單個域控制器擴展到整個公司網絡。

攻擊鏈繼續向下，網絡攻擊者先后訪問了兩個安全解決方案管理面板，其中一個用于端點保護，另一個用于合規性檢查。獲得安全軟件管理面板的訪問權限后，網絡攻擊者對該組織的基礎設施實施監控，并向其子公司傳播惡意軟件。

MATA 攻擊鏈（卡巴斯基）

MATA 惡意軟件迭代詳情

值得一提的是，研究人員發現，在攻擊目標是 Linux 服務器適用情況下，網絡攻擊者采用了 ELF 文件形式的 MATA Linux 變種，其功能似乎與第三代 Windows 植入程序類似。

卡巴斯基在對三種新版本 MATA 惡意軟件取樣研究發現，一種（v3）是從過去攻擊中出現的第二代惡意軟件演變而來，第二種（v4）被稱為 "MataDoor"，第三種（v5）則是從零開始編寫的。

最新版 MATA 采用 DLL 形式，具有遠程控制功能，支持與控制服務器的多協議（TCP、SSL、PSSL、PDTLS）連接，并支持代理（SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM）服務器鏈。第五代 MATA 支持包括設置連接、執行植入管理和檢索信息等在內的 23 種操作。

vanilla MATA 支持的最重要命令如下：

0x003: 使用特定命令集連接 C2 服務器。

0x001：啟動新的客戶端會話，管理來自 Buffer-box 的各種命令。

0x006: 使用特定延遲和隊列命令安排重新連接。

0x007: 返回詳細的系統和惡意軟件信息、加密密鑰、插件路徑等。

0x00d：配置受害者 ID 和連接參數等重要設置。

0x020: 啟動與 C2 服務器的連接并轉發流量。

0x022：探測與給定 C2 服務器和代理列表的活動連接。

惡意軟件還加載了其他插件，使其能夠執行另外 75 項命令，這些命令主要涉及信息收集、進程管理、文件管理、網絡偵察、代理功能和遠程 shell 執行。

記錄的活動時間（GMT）（卡巴斯基）

不僅如此，研究人員還發現了一種新惡意軟件模塊，該模塊可以利用 USB 等可移動存儲介質感染空氣間隙系統；還有多種能夠捕獲憑證、cookie、屏幕截圖和剪貼板內容的竊取程序，以及 EDR/安全繞過工具。

研究人員在報告中指出，網絡攻擊者利用公開的 CVE-2021-40449 漏洞利用程序（被稱為 "CallbackHell"）繞過了 EDR 和安全工具，利用這一工具，網絡攻擊者可以改變內核內存并鎖定特定的回調例程，從而使端點安全工具失效。如果上述繞過方法失敗，網絡攻擊者便會改用之前記錄的“自帶漏洞驅動程序”（BYOVD）技術。

攻擊者針對的防病毒軟件（卡巴斯基）

值得一提的是，對于 MATA 惡意軟件的來源目前仍舊存在許多疑點，卡巴斯基此前將 MATA 惡意軟件與黑客組織 Lazarus 聯系在一起，但較新的 MATA 變種和技術（如 TTLV 序列化、多層協議和握手機制）卻與 Purple、Magenta 和 Green Lambert 等 APT 組織如更為相似。