‏MATA: إطار متعدد المنصات لبرنامج ضار.

اكتشف خبراؤنا إطار برنامج ضار يستخدمه مجرمو الإنترنت لمهاجمة أنظمة التشغيل المتنوعة.

مجموعة أدوات مجرمي الإنترنت في تطور مستمر. المثال الأحدث: إطار MATA الضار الذي اكتشفه خبراؤنا مؤخرًا. الذي كان يستخدمه مجرمو الإنترنت لمهاجمة البنى التحتية للشركات حول العالم. ويمكنه أن يعمل مع أنظمة تشغيل مختلفة، حيث يستخدم مجموعة واسعة من الأدوات الضارة.

ومن المحتمل أن يستخدم المجرمون MATA في مجموعة متنوعة من الأغراض الإجرامية. إلا أنه في الحالات التي حللناها، كان المجرمون يحاولون العثور على البيانات من قواعد بيانات العملاء وسرقتها من البنية التحتية الخاصة بالضحية. وفي حالة واحدة على الأقل، استخدم المجرمون MATA أيضًا لنشر برامج الفدية الضارة (يعِد خبراؤنا بتقديم دراسة خاصة عن هذه الحالة).

كان مجال اهتمام المهاجمين واسعًا نسبيًا. ومن بين ضحايا MATA كان هناك مطورو البرامج وموفرو خدمات الإنترنت ومواقع التجارة الإلكترونية وغيرها. وكان النطاق الجغرافي للهجوم واسعًا أيضًا إلى حد ما – حيث اكتشفنا تتبعًا لنشاط المجموعة في بولندا وألمانيا وتركيا وكوريا واليابان والهند.

لماذا نصف MATA بأنه إطار؟

إن MATA ليست مجرد قطعة غنية بالمزايا من برنامج ضار. بل هو منشِئ بصورة ما يمكنه تحميل الأدوات حسب الاقتضاء وعند اللزوم. دعونا نبدأ بحقيقة أن MATA يمكن أن يهاجم أجهزة الكمبيوتر التي تعمل بأكثر أنظمة التشغيل شعبية: Windows وLinux وmacOS.

Windows

أولاً، اكتشف خبراؤنا أن هجمات MATA تستهدف الأجهزة التي تعمل بنظام Windows. وتحدث الهجمات في مراحل مختلفة. في البداية تقوم عوامل تشغيل MATA بتشغيل أداة تحميل على كمبيوتر الضحية، حيث ينشر عليه ما يسمى بالوحدة النمطية للمنسق، والتي بدورها قامت بتنزيل وحدات نمطية قادرة على أداء مجموعة متنوعة من الوظائف الضارة.

واعتمادًا على خصائص سيناريو الهجوم المحدد، يمكن تحميل الوحدات النمطية من خادم HTTP أو HTTPS بعيد، أو من ملف مشفر على القرص الصلب أو نقلها من خلال البنية الأساسية لـ MataNet عبر اتصال TLS 1.2. وتستطيع المكونات الإضافية المصنفة من MATA أن تقوم بما يلي:
• تشغيل الملف التنفيذي cmd.exe /c أو powershell.exe مع معلمات إضافية وتجميع استجابات هذه الأوامر.
• التلاعب بالعمليات (إزالة، إنشاء، إلخ)؛
• التحقق من وجود اتصال TCP مع عنوان معين (أو مجموعة من العناوين).
• إنشاء خادم وكيل HTTP في انتظار اتصالات TCP الواردة.
• التلاعب بالملفات (كتابة البيانات والإرسال وحذف المحتوى، إلخ).
• إدراج ملفات DLL في العمليات قيد التشغيل.
• الاتصال بالخوادم البعيدة.

‏Linux وmacOS‏

وبإجراء المزيد من التقصي، وجد خبراؤنا مجموعة مشابهة من الأدوات المخصصة لنظام Linux. بالإضافة إلى نسخةLinux من المنسق والمكونات الإضافية، تحتوي على command-line utility Socatالشرعي والبرامج النصية لاستغلال الثغرة الأمنية CVE-2019-3396 في خادم Atlassian Confluence.

تختلف مجموعة المكونات الإضافية عن تلك المخصصة لـ Windows. وخاصة أنه يوجد مكون إضافي زائد يحاول MATA من خلاله إنشاء اتصال TCP باستخدام منفذ 8291 ومنفذ 8292 (الذي يُستخدم في برنامج Bloomberg Professional). إذا كانت محاولة تأسيس الاتصال ناجحة، ينقل المكون الإضافي السجل إلى خادم C&C ومن المفترض أن تعمل الوظيفة على تحديد أهداف جديدة.

أما بالنسبة لأدوات macOS، فقد وُجِدَت متخفية في حصان طروادة (Trojanized) يستند إلى برمجيات مفتوحة المصدر. ومن حيث الأداء الوظيفي، كان إصدار macOS مطابقًا تقريبًا لنظيره Linux.

ستجد وصفاً تقنياً مفصلاً للإطار، إلى جانب مؤشرات التسوية، في المنشور ذي الصلة على Securelist.

كيف تحمي نفسك؟

يربط خبراء MATA بمجموعة Lazarus APT، والهجمات التي يتم تنفيذها باستخدام هذا الإطار هي بالتأكيد هجمات مستهدفة. والباحثون متأكدون من أن MATA سيستمر في التطور. لذلك، نوصي حتى الشركات الصغيرة بالتفكير في نشر التقنيات المتقدمة للحماية ليس فقط من التهديدات الجماعية، ولكن من التهديدات الأكثر تعقيدًا كذلك. خاصة أننا نقدم حلاً متكاملاً يجمع بين منصة حماية الأجهزة الطرفية (EPP) ووظيفة كشف واستجابة الأجهزة الطرفية للتهديدات (EDR) مع أدوات إضافية. يمكنك معرفة المزيد عنها على موقعنا الإلكتروني .

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!