L'ANALISI TECNICA

MATA, il framework malevolo nordcoreano per attacchi di cyber spionaggio: che c’è da sapere

Il gruppo hacker nordcoreano Lazarus torna a far parlare di sé: la famigerata APT ha messo a punto MATA, un potente framework malevolo e multipiattaforma in grado di colpire aziende e organizzazione Enterprise con attacchi ransomware e di cyber spionaggio finalizzati al furto di dati riservati. Ecco i dettagli

24 Lug 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Lazarus, la famigerata APT (Advanced Persistent Threat) che mantiene stretti legami con il regime nordcoreano e identificata anche come APT38, Hidden Cobra e Zinc, già nota per la diffusione del ransomware WannaCry nel 2017, è tornata in azione e questa volta ha deciso di fare le cose in grande sviluppando MATA, un framework malevolo in grado di colpire sistemi Windows, macOS e Linux con attacchi ransomware e di cyber spionaggio mirati verso aziende e organizzazioni Enterprise di tutto il mondo.

Il nuovo malware multipiattaforma, identificato dai ricercatori di sicurezza di Kaspersky, è dotato di un’ampia gamma di funzionalità progettate per svolgere una varietà di attività dannose sulle macchine infette: in questo modo, i criminal hacker riescono ad adattarsi ai differenti ambienti IT e OT indipendentemente dalla loro complessità e aggiustare rapidamente le loro strategie di attacco acquisendo le necessarie TTPs (tecniche, tattiche e procedure) per infiltrarsi facilmente nei sistemi target.

Secondo il rapporto pubblicato da Kaspersky, la campagna malevola di MATA sarebbe iniziata già nell’aprile del 2018 e avrebbe colpito società nei settori dello sviluppo di software, dell’e-commerce e dei provider di servizi Internet, principalmente dislocate in Polonia, Germania, Turchia, Corea, Giappone e India.

La diffusione geografica degli attacchi hacker identificati finora e condotti sfruttando il framework MATA.

In particolare, un’infrastruttura di base molto simile a quella di MATA è stata individuata lo scorso dicembre nel RAT (Remote Access Trojan) Dacls in grado di colpire le piattaforme Windows e Linux. A maggio, poi, una variante del RAT per sistemi macOS è stata distribuita tramite un’applicazione trojanizzata per l’autenticazione a due fattori (2FA).

I dettagli tecnici del framework malevolo MATA

La versione per Windows di MATA (così come quelle per Linux e macOS) è composta da diverse componenti malevoli.

Dai campioni analizzati sembrerebbe che i criminal hacker abbiano utilizzato un malware con funzioni di loader per caricare il payload criptato utilizzato nelle fasi successive dell’attacco vero e proprio: si tratterebbe, in particolare, del un modulo di orchestrazione distribuito attraverso il file lsass.exe che serve per caricare 15 plugin aggiuntivi contemporaneamente ed eseguirli nella memoria del sistema target.

I ricercatori Kaspersky non hanno, al momento, i dati di telemetria necessari per confermare che il payload sia realmente il modulo orchestratore, ma dalle analisi compiute finora risulta comunque che quasi tutte le vittime hanno sia il payload sia l’orchestratore sulla loro macchina.

I componenti della versione del framework MATA per Windows.

I plugin aggiuntivi aggiungono ulteriori funzionalità al framework MATA e consentono quindi al malware di manipolare file e processi di sistema, iniettare librerie DLL e creare un server proxy HTTP. Inoltre, consentono ai criminal hacker di compromettere anche dispositivi di rete senza disco basati su Linux come router, firewall o dispositivi IoT, e sistemi macOS mascherandosi come un’applicazione di autenticazione a due fattori chiamata TinkaOTP e basata sull’applicazione open source MinaOTP.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Nella fase successiva dell’attacco, ottenuto il pieno accesso all’infrastruttura della vittima, i criminal hacker cercano quindi di localizzare eventuali database aziendali ed eseguono diverse query nel tentativo di acquisire i dettagli dei clienti.

Dopodiché, i malware attiva una comunicazione diretta con il server di comando e controllo (C2) utilizzando una connessione TLS1.2.

I ricercatori Kaspersky hanno reso nota anche una curiosità: il framework MATA, in particolare, sarebbe stato utilizzato per distribuire il ransomware VHD a una vittima anonima. Ciò confermerebbe la possibilità di utilizzare il malware anche in pericolosi attacchi mirati.

Come bloccare un eventuale attacco

La scoperta del framework MATA conferma una volta di più quanto sia ormai importante che le aziende adottino efficienti sistemi di protezione dei sempre più preziosi dati archiviati nei loro sistemi.

Per questo motivo, è fondamentale innanzitutto allestire un sistema di backup che garantisca le necessaria continuità operativa aziendale e di recuperare velocemente i dati eventualmente bloccati durante un attacco ransomware.

È importante, inoltre, installare una soluzione di endpoint security dotata possibilmente di intelligenza artificiale e machine learning per identificare, bloccare e prevenire ogni possibile perdita di informazioni riservate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5