La panoplie d’outils des cybercriminels est en constante évolution. Dernier exemple en date : le cadre malveillant MATA que nos experts ont récemment découvert. Les cybercriminels l’utilisaient pour attaquer les infrastructures des entreprises dans le monde entier. Il peut fonctionner sous différents systèmes d’exploitation et il est doté d’un large éventail d’outils malveillants.
Les malfaiteurs peuvent potentiellement utiliser MATA à des fins criminelles très diverses. Cependant, dans les cas que nous avons analysés, les cybercriminels tentaient de trouver et de voler des données dans les bases de données des clients dans l’infrastructure des victimes. Dans au moins un cas, ils ont également utilisé MATA pour diffuser un ransomware (nos experts promettent une étude séparée de cet incident).
La sphère d’intérêt des attaquants était assez large. Parmi les victimes identifiées de MATA figuraient des développeurs de logiciels, des fournisseurs d’accès à Internet, des sites de e-commerce, etc. La géographie de l’attaque était également assez étendue : nous avons détecté des traces de l’activité du groupe en Pologne, en Allemagne, en Turquie, en Corée, au Japon et en Inde.
Pourquoi appelons-nous MATA un cadre ?
MATA n’est pas simplement un logiciel malveillant riche en fonctionnalités. C’est une sorte de constructeur permettant de charger des outils au fur et à mesure des besoins. Commençons par le fait que MATA peut attaquer des ordinateurs utilisant les trois systèmes d’exploitation les plus populaires : Windows, Linux et macOS.
Windows
Nos experts ont d’abord détecté des attaques MATA visant les appareils Windows. Elles se déroulent en plusieurs étapes. Au début, les opérateurs MATA ont fait tourner un chargeur sur l’ordinateur de la victime qui a déployé le module dit orchestrateur, qui, à son tour, a téléchargé des modules capables de diverses fonctions malveillantes.
Selon les caractéristiques du scénario d’attaque spécifique, les modules pouvaient être chargés à partir d’un serveur HTTP ou HTTPS distant, à partir d’un fichier crypté sur le disque dur, ou transférés par l’infrastructure MataNet sur une connexion TLS 1.2. Les différents modules MATA assortis peuvent :
- Exécuter cmd.exe /c ou powershell.exe avec des paramètres supplémentaires et collecter des réponses à ces commandes ;
- Manipuler les processus (supprimer, créer, etc.) ;
- Rechercher une connexion TCP avec une adresse (ou une plage d’adresses) spécifique ;
- Créer un serveur proxy HTTP en attente de connexions TCP entrantes ;
- Manipuler des fichiers (écrire des données, envoyer, supprimer du contenu, etc.) ;
- Injecter des fichiers DLL dans les processus en cours ;
- Se connecter à des serveurs distants.
Linux et macOS
Après une enquête plus poussée, nos experts ont trouvé un ensemble d’outils similaire pour Linux. En plus de la version Linux de l’orchestrateur et des plug-ins, il contenait l’utilitaire de ligne de commande légitime Socat et des scripts pour exploiter la vulnérabilité CVE-2019-3396 dans le serveur Confluence d’Atlassian.
L’ensemble de plug-ins est quelque peu différent de celui de Windows. Il y a notamment un plug-in supplémentaire par lequel MATA essaie d’établir une connexion TCP en utilisant le port 8291 (utilisé pour administrer les appareils fonctionnant sous RouterOS) et le port 8292 (utilisé dans le logiciel Bloomberg Professional). Si la tentative d’établir une connexion est réussie, le plug-in transfère le journal au serveur de C&C. Cette fonction sert probablement à localiser de nouvelles cibles.
Quant aux outils macOS, ils ont été trouvés dans une application infectée par un cheval de Troie basée sur un logiciel libre. En termes de fonctionnalités, la version de macOS était presque identique à sa cousine de Linux.
Vous trouverez une description technique détaillée du cadre, ainsi que des indicateurs de compromis, dans l’article correspondant sur Securelist.
Comment vous protéger
Nos experts relient MATA au groupe APT Lazarus, et les attaques menées dans ce cadre sont assurément ciblées. Les chercheurs sont certains que MATA continuera à évoluer. C’est pourquoi nous recommandons que même les petites entreprises pensent à déployer des technologies avancées pour se protéger non seulement contre les menaces de masse, mais aussi contre les menaces plus complexes. Plus précisément, nous proposons une solution intégrée qui combine la plateforme de protection des points d’extrémité (EPP) et la fonctionnalité de détection et de réponse des points d’extrémité (EDR) avec des outils supplémentaires. Vous pouvez en savoir plus à propos de celle-ci sur notre site internet.