Lazarus Group refait surface avec le framework MATA

Le groupe APT lié à la Corée du Nord, connu sous le nom de Lazarus Group, a lancé un framework de logiciels malveillants avancé et polyvalent, nommé MATA, pour cibler les systèmes d’exploitation Windows, Linux et macOS.

Les chercheurs de Kaspersky ont découvert une série d’attaques utilisant MATA (les auteurs de logiciels malveillants appellent eux-mêmes leur infrastructure MataNet), impliquant l’infiltration d’entités commerciales du monde entier dans le but de voler des bases de données clients et distribuer des rançongiciels. Le framework inclue plusieurs composants, tels qu’un loader, un orchestrateur (qui gère et coordonne les processus une fois qu’un appareil est infecté) et des plugins. Et selon les artefacts du code, Lazarus l’utilise depuis le printemps 2018.

«Les outils malveillants utilisés pour cibler plusieurs plates-formes sont rares, car ils nécessitent un investissement important de la part du développeur», ont expliqué les analystes de Kaspersky, dans un rapport. «Ils sont souvent déployés pour une utilisation à long terme, ce qui se traduit par un profit accru pour le pirate grâce à de nombreuses attaques étalées dans le temps. Dans les cas découverts par Kaspersky, le framework MATA a pu cibler trois plates-formes – Windows, Linux et macOS – indiquant que les attaquants prévoyaient de l’utiliser à des fins multiples. »

lazarus group apt

Les organisations connues touchées par le framework MATA ont été localisées en Allemagne, en Inde, au Japon, en Corée, en Turquie et en Pologne – ce qui indique que les attaques visent une surface plutôt large. De plus, ces victimes appartiennent à divers secteurs, parmi celles-ci on trouve une société de développement de logiciels, une société de commerce électronique et un fournisseur de services Internet.

«A partir d’une victime, nous avons identifié l’une de leurs intentions», selon Kaspersky. «Après avoir déployé le malware MATA et ses plugins, le pirate a tenté de trouver les bases de données de la victime et d’exécuter plusieurs requêtes de base de données pour acquérir des listes de clients. Nous ne savons pas s’ils ont terminé l’exfiltration de la base de données clients, mais il est certain que les bases de données clients des victimes sont l’un de leurs intérêts. De plus, MATA a été utilisé pour distribuer le rançongiciel VHD à une victime.

Les versions Windows de MATA

La version Windows de MATA contient plusieurs composants, selon la firme: plus particulièrement, un loader, qui est utilisé pour charger une charge utile chiffrée de la prochaine étape et la charge utile elle-même, qui est probablement le malware orchestrateur.

«Nous ne sommes pas sûrs que la charge utile soit le malware orchestrateur, mais presque toutes les victimes ont le loader et l’orchestrateur sur la même machine», ont expliqué les chercheurs.

L’orchestrateur charge les données de configuration chiffrées à partir d’une clé de registre et les déchiffre avec l’algorithme AES. Son but est de charger divers plugins – jusqu’à 15 d’entre eux. Ils exécutent diverses fonctions, notamment l’envoi des informations de commande et de contrôle (C2) sur l’hôte infecté, telles que l’ID de la victime, le numéro de version interne, la version Windows, le nom de l’ordinateur, le nom d’utilisateur, l’adresse IP et l’adresse MAC; création d’un serveur proxy HTTP; exécution de code; manipulation des fichiers et plus encore.

Le processus parent qui exécute le programme malveillant du loader est le processus WMI Provider Host, ce qui signifie généralement que le pirate a exécuté le logiciel malveillant à partir d’un hôte distant pour se déplacer latéralement, selon Kaspersky – ce qui signifie que d’autres hôtes sur le même réseau pourraient également être infectés.

Les autres versions de MATA

La version Linux de l’orchestrateur MATA a été aperçue en Décembre, découverte par Netlab et baptisée DACL. Il a été caractérisé comme un cheval de Troie d’accès à distance (RAT), fourni avec un ensemble de plugins. Kaspersky a fait le lien entre DACL et MATA, la version Linux de MATA comprenant à la fois un orchestrateur Windows et Linux, un outil Linux pour répertorier les dossiers, des scripts pour exploiter Atlassian Confluence Server (CVE-2019-3396) et un outil socat légitime.

Notez que la version Linux de MATA a un plugin nommé logsend. Ce plugin implémente une nouvelle fonctionnalité intéressante, une commande «scan» qui tente d’établir une connexion TCP sur les ports 8291 (utilisé pour l’administration des appareils MikroTik RouterOS) et 8292 (logiciel «Bloomberg Professional») et des adresses IP aléatoires à l’exception des adresses appartenant à des réseaux. Toute connexion réussie est enregistrée et envoyée au C2(serveur de commande et de contrôle). Ces logs peuvent être utilisés par des pirates informatiques pour la sélection des cibles.

La version macOS de l’orchestrateur a quant à elle été découverte en Avril. Elle se cachait dans une application macOS trojanisée basée sur une application d’authentification open source à deux facteurs nommée MinaOTP. Sa liste de plugins est presque identique à la version Linux, sauf qu’elle contient également un plugin nommé «plugin_socks», chargé de configurer les serveurs proxy.

Liens avec Lazarus Group

Lazarus Group, alias Hidden Cobra ou APT 38, existe depuis 2009. Lazarus est responsable de l’attaque très destructrice de WannaCry qui a causé des millions de dollars de dommages économiques en 2017, aux attaques bancaires SWIFT, ainsi qu’à l’attaque contre Sony Pictures Entertainment en 2014. Il a même engendré un groupe dérivé, dont la mission est de dérober de l’argent aux banques pour financer les opérations cybercriminelles de Lazarus et le régime nord-coréen dans son ensemble.

lazarus group

Lazarus est également en constante évolution: en Décembre, le groupe s’associait à des opérateurs de Trickbot, qui gèrent un puissant cheval de Troie qui cible les banques. En Mai, ils ont ajouté un logiciel espion macOS à une application d’authentification à deux facteurs; et plus tôt en Juillet, ils ont ajouté le code de Magecart à leur arsenal.

Kaspersky a fait le lien entre le framework MATA et le groupe Lazarus grâce à deux noms de fichiers uniques trouvés dans les orchestrateurs: c_2910.cls et k_3872.cls, qui n’ont été aperçus que dans plusieurs variantes du malware Manuscrypt, un outil bien connu de Lazarus. Des recherches antérieures de Netlab ont également déterminé la connexion entre l’orchestrateur Linux (le RAT DACLS) et Lazarus Group.

«De plus, MATA utilise des données de configuration globales, notamment un identifiant de session généré aléatoirement, des informations de version basées sur la date, un intervalle de veille et plusieurs serveurs C2 et adresses de serveur C2», ont ajouté les chercheurs. «Nous avons obsrvé que l’une des variantes de Manuscrypt (ab09f6a249ca88d1a036eee7a02cdd16) partage une structure de configuration similaire avec le framework MATA. Cette ancienne variante de Manuscrypt est une porte dérobée active qui a des données de configuration similaires telles que l’ID de session, l’intervalle de veille, le nombre d’adresses C2, la date d’infection et les adresses C2. Ils ne sont pas identiques, mais ils ont une structure similaire. »

Si cet article vous a plu, jetez un œil à notre article précédent.