Las herramientas de los ciberdelincuentes están en constante evolución. El último ejemplo: el “framework” malicioso MATA que nuestros expertos descubrieron recientemente y que los ciberdelincuentes usaban para atacar infraestructuras corporativas de todo el mundo. Puede funcionar en varios sistemas operativos y cuenta con una amplia gama de herramientas maliciosas.
Los ciberdelincuentes pueden usar MATA para una amplia variedad de propósitos delictivos. Sin embargo, en los casos que analizamos, los ciberdelincuentes intentaban encontrar y robar datos de bases de datos de clientes en la infraestructura de las víctimas. En al menos un caso, también usaron MATA para difundir ransomware (nuestros expertos prometen un estudio independiente dedicado a ese incidente).
La esfera de interés de los atacantes era bastante amplia. Entre las víctimas identificadas de MATA se encontraban desarrolladores de software, proveedores de Internet, sitios de comercio electrónico y otros. La geografía del ataque también era bastante extensa: detectamos rastros de la actividad del grupo en Polonia, Alemania, Turquía, Corea, Japón e India.
¿Por qué decimos que MATA es un “framework”?
MATA no es un simple malware rico en funciones. Se trata de un tipo de constructor para cargar herramientas siempre que sea necesario. Comencemos con el hecho de que MATA puede atacar ordenadores que ejecutan los tres sistemas operativos más populares: Windows, Linux y macOS.
Windows
En primer lugar, nuestros expertos detectaron que los ataques MATA se dirigían a equipos Windows. Estos se llevan a cabo en varias etapas: al principio, los operadores de MATA ejecutan un cargador en el ordenador de la víctima que implementa el llamado módulo orquestador, que, a su vez, descarga módulos capaces de una variedad de funciones maliciosas.
Dependiendo de las características de la situación específica del ataque, los módulos pueden cargarse desde un servidor remoto HTTP o HTTPS, desde un archivo cifrado en el disco duro o transferirse a través de la infraestructura MataNet a través de una conexión TLS 1.2. Los complementos de MATA pueden:
- Ejecutar cmd.exe /c o powershell.exe con parámetros adicionales y recopilar las respuestas a estos comandos.
- Manipular procesos (eliminar, crear, etc.).
- Comprobar si hay conexión TCP con una dirección específica (o rango de direcciones).
- Crear un servidor proxy HTTP en espera de las conexiones TCP entrantes.
- Manipular archivos (escribir datos, enviar, eliminar contenido, etc.).
- Inyectar archivos DLL en procesos en ejecución.
- Conectarse a servidores remotos.
Linux y macOS
En una investigación posterior, nuestros expertos encontraron un conjunto de herramientas similar para Linux. Además de la versión de Linux del orquestador y los complementos, contenía la utilidad legítima de línea de comandos Socat y los scripts para explotar la vulnerabilidad CVE-2019-3396 en el Confluence Server de Atlassian.
El conjunto de complementos es algo diferente del de Windows. En particular, hay un complemento adicional a través del cual MATA intenta establecer una conexión TCP utilizando el puerto 8291 (utilizado para administrar dispositivos que ejecutan RouterOS) y el puerto 8292 (utilizado en el software Bloomberg Professional). Si consigue establecer conexión, el complemento transfiere el registro al servidor de comando y control. Presumiblemente, la función sirve para localizar nuevos objetivos.
En cuanto a las herramientas de macOS, se encontraron en una aplicación “troyanizada” basada en software de código abierto. En términos de funcionalidad, la versión de macOS era casi idéntica a su primo de Linux.
Para una descripción técnica detallada del “framework”, junto con los indicadores de compromiso, visita la publicación dedicada a MATA en Securelist.
¿Cómo protegerte?
Nuestros expertos relacionan a MATA con el grupo de APT Lazarus. Además, no hay duda de que los ataques llevados a cabo con este “framework” son dirigidos. Los investigadores afirman que MATA continuará evolucionando. Por lo tanto, recomendamos que incluso las pequeñas empresas piensen en implementar tecnologías avanzadas para protegerse no solo de las amenazas masivas, sino también de las más complejas. Nosotros ofrecemos una solución integrada que combina la plataforma Endpoint Protection Platform (EPP) y la funcionalidad Endpoint Detection and Response (EDR) con herramientas adicionales. Para más información al respecto, puedes visitar nuestro sitio web.