MATA：攻击多平台的恶意软件框架分析

随着IT和OT的环境变得越来越复杂，对手也开始快速挑战其攻击策略。近期，研究发现了一个恶意软件框架——MATA。MATA恶意软件框架可以处理多个不同的组件，比如加载器、插件等。该框架可以攻击Windows、Linux和macOS操作系统。

研究人员最早是在2018年4月发现的与MATA相关的特征。之后，该高级恶意软件框架背后的攻击者使用该框架来入侵全球的企业网络。研究人员已经发现确认了多个受害者。

Windows 版本的 MATA

Windows 版本的 MATA中含有多个组件。攻击者使用一个加载器恶意软件来加载加密的下一阶段payload。研究人员目前还不确定加载的payload是不是orchestrator恶意软件，但是几乎所有的受害者机器上同时都安装了加载器和orchestrator恶意软件。

Windows 版本的 MATA组件

加载器

加载器中有一个硬编码的十六进制字符串，将其转化为二进制，并用AES解密来获取payload文件的路径。每个加载器加载加密payload的路径都是硬编码的。然后会将payload文件AES解密和加载。

从受害者机器中的加载器恶意软件中，研究人员发现了执行加载器恶意软件的父进程是C:\Windows\System32\wbem\WmiPrvSE.exe 进程。WmiPrvSE.exe 进程是WMI Provider Host process ，意味着攻击者执从远程主机执行了加载器恶意软件。

Orchestrator和插件

研究人员发现了受害者机器中的lsass.exe进程的orchestrator 恶意软件。该恶意软件从注册表中加载了加密的配置数据，并用AES算法解密。除非其中存在注册表值，恶意软件会使用硬编码的配置数据。以下是orchestrator恶意软件样本的配置值示例：

Orchestrator可以同时加载15种插件，加载的方式有3种：

· 从指定的HTTP或HTTPS服务器下载插件；

· 从指定的磁盘路径加载AES加密的插件文件；

· 从当前MataNet 路径下载插件文件。

恶意软件将基础设施称之为MataNet。为实现隐蔽通信，攻击者使用了TLS 1.2连接。此外，MataNet节点之间的流量使用随机的RC4 session key加密。

MATA_Plug_WebProxy.dll插件的Proxy-agent

MATA的非Windows版本

MATA框架不仅攻击Windows系统，还攻击Linux和macOS系统。

Linux版本

研究人员还发现了一个含有不同MATA文件的包。该包位于一个合法的分发站点上，这也表明了恶意软件的分发方式。其中含有一个Windows MATA orchestrator、列出文件夹的Linux工具、利用Atlassian Confluence Server (CVE-2019-3396)漏洞的合法socat工具和一个Linux版本的MATA orchestrator。

该模块的目的是以daemon的形式运行。启动后，该模块会读取/var/run/init.pid中的PID来检查是否已经运行，检查“/proc/%pid%/cmdline”的文件内容是否等于“/flash/bin/mountd”。 “/flash/bin/mountd”是标准Linux桌面/服务器安装的路径。该路径表明MAT的Linux版本是无硬盘的网络设备，比如路由器、防火墙、IoT设备等。该模块可以以“/pro” switch运行来跳过“init.pid”检查。AES加密的配置保存在$HOME/.memcache 文件中。该模块的行为与Windows MATA orchestrator是相同的。Linux MATA的插件名和对应的Windows插件如下所示：

macOS版本

研究人员还在2020年4月8日发现了一个上传到VirusTotal的攻击macOS的MATA恶意软件余本。恶意苹果硬盘镜像文件是一个基于开源双因子认证应用MinaOTP的木马化macOS应用。

木马化的macOS应用

木马主TinkaOTP模块负责移动恶意Mach-O 文件到Library文件夹，并用以下命令执行：

cp TinkaOTP.app/Contents/Resources/Base.lproj/SubMenu.nib ~/Library/.mina > /dev/null 2>&1 && chmod +x ~/Library/.mina > /dev/null 2>&1 && ~/Library/.mina > /dev/null 2>&1

启动后，恶意Mach-o 文件会从/Library/Caches/com.apple.appstotore.db 加载初始的配置文件。

macOS MATA恶意软件也是以插件的形式运行。插件列表与Linux版本几乎是完全相同的，除了含有一个名为“plugin_socks” 的插件，该插件与“plugin_reverse_p2p” 类似，负责配置代理服务器。

受害者分布

研究人员发现了多个被MATA框架感染的受害者。受害者分布在波兰、德国、土耳其、日本、韩国和印度。被入侵的系统分布在不同的行业，包括软件开发公司、电子贸易公司和互联网服务提供商。

MATA受害者分布

结论

MATA框架是可以攻击Windows、Linux和macOS平台的高级恶意软件框架。网络犯罪分子利用该框架来执行不同的网络犯罪行为，比如窃取数据库文件和传播勒索软件。研究人员分析后认为该恶意软件仍然在不断发展中。