MATA: فریم‌ورک چندپلت‌فرمه‌ی بدافزار

04 مرداد 1399 MATA: فریم‌ورک چندپلت‌فرمه‌ی بدافزار

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مجموعه ابزار مجرمان سایبری پیوسته در حال تکامل و پیشرفت است. نمونه‌ی آخرش، فریم‌ورک مخرب MATA که متخصصین‌ ما به تازگی از آن پرده برداشتند. مجرمان سایبری در حقیقت داشتند از آن برای حمله به زیرساخت‌های سازمانی در سراسر جهان استفاده می‌کردند. MATA می‌تواند تحت سیستم‌عامل‌های مختلفی کار کرده و طیف وسیعی از ابزارهای آلوده را به رخ جهان بکشاند. در ادامه همراه شوید تا ضمن بررسی نحوه‌ی عملکرد این فریم‌ورک، راهکاری امنیتی را نیز خدمتتان ارائه دهیم.

به طور بالقوه، مهاجمین می‌توانند از MATA برای انواع مختلفی از مقاصد جنایی (جنایت سایبری) استفاده کنند؛ با این حال در پرونده‌هایی که ما مورد بررسی قرار دادیم مجرمان سایبری در تلاش بودند تا داده‌هایی را از پایگاه‌های اطلاعاتی کلاینت در زیرساخت قربانی‌ها پیدا نموده و سرقت کنند. دست‌کم در یک پرونده، مجرمان سایبری همچنین از MATA برای پخش باج‌افزار استفاده کردند (متخصصین ما قول می‌دهند مطالعه و بررسی جداگانه‌ای را به این رخداد اختصاص دهند). حوزه مورد علاقه مهاجمین بسیار وسیع بود. از بین قربانی‌های شناسایی‌شده‌ی MATA می‌توان به توسعه‌دهندگان نرم‌افزار، ارائه‌دهندگان اینترنت، سایت‌های تجارت الکترونیک (و البته کلی موارد دیگر) اشاره کرد.

جغرافیای حمله همچنین بسیار گسترده بود- ما ردپاهایی از فعالیت این گروه در لهستان، آلمان، ترکیه، کره، ژاپن و هند پیدا کردیم.

چرا به MATA می‌گوییم فریم‌ورک؟

MATA صرفاً یک تکه بدافزار با قابلیت‌های بالا نیست؛ نوعی سازه است برای لود کردن ابزارها آن هم به محض اینکه بدان‌ها نیاز شد. بگذارید این حقیقت را بازگو گنیم که MATA می‌تواند با اجرای سه تا از محبوب‌ترین سیستم‌عامل‌ها به کامپیوترها حمله کند: ویندوز، لینوکس و macOS.

ویندوز

نخست اینکه، وقتی متخصصین ما حملات MATA را شناسایی کردند که داشتند ماشین‌های ویندوزی را مورد هدف قرار می‌دادند. این حملات در چندین مرحله اتفاق افتاد. در ابتدا، اپراتورهای MATA لودری را روی کامپیوتر قربانی اجرا کردند که کارش به خدمت گرفتن ماژول اصطلاحاً ارکستراتور (رهبر) بود؛ که در عوض ماژول‌هایی که انواعی از کارکردهای مخرب را بلد بودند دانلود می‌کرد. بسته به مشخصه‌های این سناریوی خاص حمله، ماژول‌ها توانستند از HTTP ریموت، سرور HTTPS یا از فایلی رمزگذاری‌شده روی هارددرایو لود شده یا از طریق زیرساخت MataNet بواسطه‌ی یک اتصال TLS 1.2 انتقال داده شوند.

پلاگین‌های متنوع MATA می‌توانند:

  • cmd.exe /c یا powershell.exe را با پارامترهای اضافی اجرا کرده و پاسخ‌ به این فرمان‌ها را جمع‌آوری کنند
  • فرآیندها را دستکاری کنند (حذف، ساخت، غیره)
  • اتصال TCP را با یک آدرس خاص (یا طیفی از آدرس‌ها) چک کنند
  • یک پروکسی سرور HTTP بسازند که منتظر کانکشن‌های TCP ورودی باشد
  • فایل‌ها را دستکاری کنند (داده بنویسند، ارسال کنند، محتوا را حذف کنند و غیره)
  • فایل‌های DLL را در فرآیندهای در حال اجرا تزریق کنند
  • به سرورهای ریموت متصل شوند

لینوکس و macOS

متخصصین ما با تحقیقات بیشتر به مجموعه ابزار مشابهی برای لینوکس نیز دست یافتند. علاوه بر نسخه‌ی لینوکسی ماژول ارکستراتور و پلاگین‌ها، این مجموعه شامل ابزار قانونی خط فرمان و اسکریپت هایی برای اکسپلویت کردن آسیب‌پذیری CVE-2019-3396 در سرور Atlassian Confluence می‌شد. این مجموعه پلاگین‌ با نسخه‌ی ویندوزی‌اش فرق دارد. به طور خاص، پلاگین اضافی وجود دارد که از طریق آن MATA سعی دارد با استفاده از پورت 8291 (قبلاً دستگاه‌هایی را که RouterOS اجرا می‌کردند مدیریت می‌کرد) و پورت 8292  (در نرم‌افزار Bloomberg Professional از آن استفاده می‌شد) کانکشن TCP برقرار کند. اگر اقدام برای برقراری کانکشن موفق باشد، پلاگین لاگ را به سرور C&C انتقال می‌دهد. اینطور حدس زده می‌شود که این کارکرد مأموریتش پیدا کردن تارگت‌های جدید باشد. ابزارهای macOS نیز در اپ تروجان‌زده‌ای بر اساس نرم‌افزاری منبع باز پیدا شدند. نسخه‌ی macOS از حیث کارکرد تقریباً مانند همتای لینوکسی‌اش بود.

چطور در امان بمانیم؟

متخصصین ما MATA را به گروه Lazarus APT ربط دادند و حملات انجام‌شده با این فریم‌ورک به طور قطع حملاتی هدف‌دار بوده‌اند. محققین مطمئنند MATA همچنان جای رشد و رخنه دارد. از این رو، توصیه‌ی ما این است که حتی شرکت‌های کوچک هم به فکر اتخاذ فناوری‌های پیشرفته برای محافظت در برابر نه تنها تهدیدهای توده‌ای که حتی تهدیدهای بس پیچیده‌تر نیز باشند. ما به طور خاص راهکاری یکپارچه که EPP[1] و [2]EDR را با ابزارهای اضافی دیگر ترکیب می‌کند پیشنهاد می‌دهیم.

 

[1] Endpoint Protection Platfor، پلت‌فرم حفاظت اندپویت

[2] Endpoint Detection and Respons، شناسایی اندپوینت و واکنش به آن

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد