MATA：针对多平台的恶意软件框架 – 作者:Kriston

随着网络环境变得越来越复杂，攻击者会根据不同环境指定其攻击策略。最近研究人员发现名为MATA的恶意软件框架，其有多个组件，例如加载程序，协调器和插件，主要针对Windows，Linux和macOS操作系统。

Windows版本的MATA

Windows版本的MATA由以下几个部分组成：

攻击者使用加载程序加载下一阶段有效负载，所有受害者及其中都发现了加载器和协调器（orchestrater）。

加载器

加载器采用硬编码十六进制字符串，将效负载文件的路径转换为二进制并对其进行AES解密。每个加载程序都有一个硬编码的路径来加载加密的有效负载，然后将有效负载文件进行AES解密并加载。

从受害者中发现执行加载程序恶意软件的父进程是“C:\Windows\System32\wbem\WmiPrvSE.exe”。 攻击者使用此加载程序来破坏同一网络中的其他主机。

Orchestrator和插件

在受害者计算机上的lsass.exe进程中发现了orchestrator恶意软件。 该协调器从注册表项加载加密的配置数据，并使用AES算法对其解密。若注册表值存在，恶意软件会使用硬编码的配置数据。 以下为样本的配置值示例：

协调器可以同时加载15个插件，有三种加载方式：

    1、从指定的HTTP或HTTPS服务器下载插件
    2、从指定的磁盘路径加载AES加密的插件文件
    3、从当前的MataNet连接下载插件文件

恶意软件作者将其基础架构称为MataNet，MataNet客户端与其C2建立定期连接。每个消息都有一个12字节长的标头，其中第一个DWORD是消息ID，其余的是辅助数据，如下表所示：

协调器的主要功能是加载每个插件文件并在内存中执行，每个DLL文件类型插件都有一个接口，并提供了多种功能。

MATA_Plug_WebProxy插件中有字符串：“ Proxy-agent：matt-dot-net”，它是对Matt McKnight的开源项目的引用。

非windows版本Mata

Linux版本

研究过程中发现了一个包含不同MATA文件和黑客工具的软件包。它包括Windows MATA orchestrator，Linux列文件工具，Atlassian Confluence Server（CVE-2019-3396）利用脚本，socat工具以及与一组插件捆绑在一起的MATA Orchestrator的Linux版本。

启动后从“/var/run/init.pid”读取PID来检查是否已经在运行，并检查“/proc/%pid%/cmdline” 文件内容是否等于 “/flash/bin/mountd”。 AES加密配置存储在“$HOME/.memcache”文件中。 Linux MATA的插件名称和相应的Windows插件为：

Linux版本的MATA具有一个logend插件。 该插件具有“扫描”功能，可在端口8291（用于管理MikroTik RouterOS设备）和8292上建立TCP连接，成功的连接都会被记录并发送到C2。 

macOS版本

研究中发现2020年4月8日上传到VirusTotal的macOS版本MATA恶意软件。

Trojanized主TinkaOTP模块负责将恶意Mach-O文件移动到Library文件夹，并使用以下命令执行该文件：

cp TinkaOTP.app/Contents/Resources/Base.lproj/SubMenu.nib ~/Library/.mina > /dev/null 2>&1 && chmod +x ~/Library/.mina > /dev/null 2>&1 && ~/Library/.mina > /dev/null 2>&1

启动后，Mach-o文件从“ /Library/Caches/com.apple.appstotore.db”中加载初始配置文件。macOS MATA恶意软件也是基于插件运行， 它的插件列表与Linux版本几乎相同，它还包含一个名为“ plugin_socks”的插件，类似于“ plugin_reverse_p2p”，负责配置代理服务器。

目标分析

目前已经识别出一些被MATA框架感染的目标，分布于波兰，德国，土耳其，韩国，日本和印度等地，攻击者破坏了包括软件开发公司，电子商务公司和互联网服务提供商在内的各个行业的系统。

归属分析

研究人员评估了MATA框架与Lazarus APT之间的联系。 MATA协调器使用两个文件名c_2910.cls和k_3872.cls，这些文件名以前仅在几种Manuscrypt变体中才能看到，包括在US-CERT中提到的样本（0137f688436c468d43b3e50878ec1a1f）。

MATA使用全局配置数据，包括随机生成会话ID，基于日期的版本信息，休眠间隔以及多个C2和C2服务器地址。其中一个Manuscrypt变体（ab09f6a249ca88d1a036eee7a02cdd16）与MATA框架具有相似的配置结构。

MATA可针对多个平台：Windows，Linux和macOS。攻击者利用该框架窃取数据库并传播勒索软件。

IOCs

Windows Loader

f364b46d8aafff67271d350b8271505a

85dcea03016df4880cebee9a70de0c02

1060702fe4e670eda8c0433c5966feee

7b068dfbea310962361abf4723332b3a

8e665562b9e187585a3f32923cc1f889

6cd06403f36ad20a3492060c9dc14d80

71d8b4c4411f7ffa89919a3251e6e5cb

a7bda9b5c579254114fab05ec751918c

e58cfbc6e0602681ff1841afadad4cc6

7e4e49d74b59cc9cc1471e33e50475d3

a93d1d5c2cb9c728fda3a5beaf0a0ffc

455997E42E20C8256A494FA5556F7333

7ead1fbba01a76467d63c4a216cf2902

7d80175ea344b1c849ead7ca5a82ac94

bf2765175d6fce7069cdb164603bd7dc

b5d85cfaece7da5ed20d8eb2c9fa477c

6145fa69a6e42a0bf6a8f7c12005636b

2b8ff2a971555390b37f75cb07ae84bd

1e175231206cd7f80de4f6d86399c079

65632998063ff116417b04b65fdebdfb

ab2a98d3564c6bf656b8347681ecc2be

e3dee2d65512b99a362a1dbf6726ba9c

fea3a39f97c00a6c8a589ff48bcc5a8c

2cd1f7f17153880fd80eba65b827d344

582b9801698c0c1614dbbae73c409efb

a64b3278cc8f8b75e3c86b6a1faa6686

ca250f3c7a3098964a89d879333ac7c8

ed5458de272171feee479c355ab4a9f3

f0e87707fd0462162e1aecb6b4a53a89

f1ca9c730c8b5169fe095d385bac77e7

f50a0cd229b7bf57fcbd67ccfa8a5147

Windows MATA

bea49839390e4f1eb3cb38d0fcaf897e    rdata.dat

8910bdaaa6d3d40e9f60523d3a34f914    sdata.dat

6a066cf853fe51e3398ef773d016a4a8

228998f29864603fd4966cadd0be77fc

da50a7a05abffb806f4a60c461521f41

ec05817e19039c2f6cc2c021e2ea0016

Registry path

HKLM\Software\Microsoft\KxtNet

HKLM\Software\Microsoft\HlqNet

HKLM\Software\mthjk

Linux MATA

859e7e9a11b37d355955f85b9a305fec    mdata.dat

80c0efb9e129f7f9b05a783df6959812    ldata.dat, mdata.dat

d2f94e178c254669fb9656d5513356d2   mdata.dat

Linux log collector

982bf527b9fe16205fea606d1beed7fa    hdata.dat

Open-source Linux SoCat

e883bf5fd22eb6237eb84d80bbcf2ac9    sdata.dat

Script for exploiting Atlassian Confluence Server

a99b7ef095f44cf35453465c64f0c70c    check.vm, r.vm

199b4c116ac14964e9646b2f27595156    r.vm

macOS MATA

81f8f0526740b55fe484c42126cd8396    TinkaOTP.dmg

f05437d510287448325bac98a1378de1    SubMenu.nib

C2 address

104.232.71.7:443

107.172.197.175:443

108.170.31.81:443

111.90.146.105:443

111.90.148.132:443

172.81.132.41:443

172.93.184.62:443

172.93.201.219:443

185.62.58.207:443

192.210.239.122:443

198.180.198.6:443

209.90.234.34:443

216.244.71.233:443

23.227.199.53:443

23.227.199.69:443

23.254.119.12:443

67.43.239.146:443

68.168.123.86:443

参考链接

MATA: Multi-platform targeted malware framework

来源：freebuf.com 2020-07-29 11:01:51 by: Kriston