CONTACTANOS
Contactanos por Whatsapp

Informes

El grupo Lazarus lanzo una variante del ransomware MACROMATA. Conoce el análisis del S.O.C. de RAN Security sobre esta amenaza.

Blog Details Image

Recientemente se detectó nueva actividad del malware Macro MATA, el cual se detectó por primera vez en 2018, donde el mismo se utilizó agresivamente para infiltrarse en entidades corporativas de todo el mundo.

Actualmente se detectó nueva actividad de este malware en diferentes puntos del mundo.

Las víctimas fueron registradas en Polonia, Alemania, Turquía, Corea, Japón e India. Además, el actor comprometió los sistemas en diversas industrias, incluida una empresa de desarrollo de software, una empresa de comercio electrónico y un proveedor de servicios de Internet.

El método de distribución de este se ve por diversas rutas, tanto por phishing con adjuntos los cuales tienen dentro embebido el malware que posteriormente descarga un orquestador. Y embebido en softwares piratas que la ejecutarse descarga el orquestador del malware.  


Detalle técnico

A continuación, se detalla el comportamiento del malware y su método de infección.

El malware Macro MATA consta de varios componentes, un software cargador, un orquestador y los complementos.

Este malware integral puede apuntar a los sistemas operativos Windows, Linux y macOS. La versión de Windows de MATA consta de varios componentes, este utiliza un malware para descargar una carga útil encriptada en el equipo para realizar la siguiente etapa.

El proceso principal que ejecuta el malware cargador es el proceso "C: \ Windows \ System32 \ wbem \ WmiPrvSE.exe". Este proceso inicia la descarga y ejecución del componente Orquestador.

El orquestador en el proceso lsass.exe en las máquinas de las víctimas. Este malware de orquestador carga datos de configuración cifrados de una clave de registro y los descifra con el algoritmo AES. A menos que exista el valor del registro, el malware utiliza datos de configuración codificados. El orquestador puede cargar 15 complementos al mismo tiempo.

La funcionalidad principal del orquestador es cargar cada archivo de complemento y ejecutarlos en la memoria. Cada complemento de tipo de archivo DLL proporciona una interfaz para el orquestador y proporciona una rica funcionalidad que puede controlar las máquinas infectadas.

También se encontró un paquete que contiene diferentes archivos MATA junto con un conjunto de herramientas de piratería, una herramienta de Linux para enumerar carpetas, scripts para explotar Atlassian Confluence Server (CVE-2019-3396), una herramienta socat legítima y una versión de Linux del orquestador MATA incluido con un conjunto de complementos.

Descubrimos otro objetivo de malware MATA para macOS cargado en VirusTotal el 8 de abril de 2020. El archivo malicioso Apple Disk Image es una aplicación troyanizada de macOS basada en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP.

Recomendaciones: 

  • No descargar software pirata, ni de páginas no oficiales
  • Registrar todos los softwares de la organización en un inventario y añadirlos a una lista blanca
  • Bloquear Las IPs listadas en el apartado de IOC
  • Incluir a soluciones AntiSpam, IPS, los hashes listados en el apartado de IOC

IOC:

Windows Loader

  • f364b46d8aafff67271d350b8271505a
  • 85dcea03016df4880cebee9a70de0c02
  • 1060702fe4e670eda8c0433c5966feee
  • 7b068dfbea310962361abf4723332b3a
  • 8e665562b9e187585a3f32923cc1f889
  • 6cd06403f36ad20a3492060c9dc14d80
  • 71d8b4c4411f7ffa89919a3251e6e5cb
  • a7bda9b5c579254114fab05ec751918c
  • e58cfbc6e0602681ff1841afadad4cc6
  • 7e4e49d74b59cc9cc1471e33e50475d3
  • a93d1d5c2cb9c728fda3a5beaf0a0ffc
  • 455997E42E20C8256A494FA5556F7333
  • 7ead1fbba01a76467d63c4a216cf2902
  • 7d80175ea344b1c849ead7ca5a82ac94
  • bf2765175d6fce7069cdb164603bd7dc
  • b5d85cfaece7da5ed20d8eb2c9fa477c
  • 6145fa69a6e42a0bf6a8f7c12005636b
  • 2b8ff2a971555390b37f75cb07ae84bd
  • 1e175231206cd7f80de4f6d86399c079
  • 65632998063ff116417b04b65fdebdfb
  • ab2a98d3564c6bf656b8347681ecc2be
  • e3dee2d65512b99a362a1dbf6726ba9c
  • fea3a39f97c00a6c8a589ff48bcc5a8c
  • 2cd1f7f17153880fd80eba65b827d344
  • 582b9801698c0c1614dbbae73c409efb
  • a64b3278cc8f8b75e3c86b6a1faa6686
  • ca250f3c7a3098964a89d879333ac7c8
  • ed5458de272171feee479c355ab4a9f3
  • f0e87707fd0462162e1aecb6b4a53a89
  • f1ca9c730c8b5169fe095d385bac77e7
  • f50a0cd229b7bf57fcbd67ccfa8a5147

Windows MATA

  • bea49839390e4f1eb3cb38d0fcaf897e rdata.dat
  • 8910bdaaa6d3d40e9f60523d3a34f914 sdata.dat
  • 6a066cf853fe51e3398ef773d016a4a8
  • 228998f29864603fd4966cadd0be77fc
  • da50a7a05abffb806f4a60c461521f41
  • ec05817e19039c2f6cc2c021e2ea0016

Ruta de registro

  • HKLM \ Software \ Microsoft \ KxtNet
  • HKLM \ Software \ Microsoft \ HlqNet
  • HKLM \ Software \ mthjk

Linux MATA

  • 859e7e9a11b37d355955f85b9a305fec mdata.dat
  • 80c0efb9e129f7f9b05a783df6959812 ldata.dat, mdata.dat
  • d2f94e178c254669fb9656d5513356d2 mdata.dat

Colector de registro de Linux

  • 982bf527b9fe16205fea606d1beed7fa hdata.dat

SoCat Linux de código abierto

  • e883bf5fd22eb6237eb84d80bbcf2ac9 sdata.dat

Script para explotar Atlassian Confluence Server

  • a99b7ef095f44cf35453465c64f0c70c check.vm, r.vm
  • 199b4c116ac14964e9646b2f27595156 r.vm

macOS MATA

  • 81f8f0526740b55fe484c42126cd8396 TinkaOTP.dmg
  • f05437d510287448325bac98a1378de1 SubMenu.nib

Dirección C2

  • 104.232.71.7:443
  • 107.172.197.175:443
  • 108.170.31.81:443
  • 111.90.146.105:443
  • 111.90.148.132:443
  • 172.81.132.41:443
  • 172.93.184.62:443
  • 172.93.201.219:443
  • 185.62.58.207:443
  • 192.210.239.122:443
  • 198.180.198.6:443
  • 209.90.234.34:443
  • 216.244.71.233:443
  • 23.227.199.53:443
  • 23.227.199.69:443
  • 23.254.119.12:443
  • 67.43.239.146:443
  • 68.168.123.86:443

Ante cualquier duda o inquietud, no dudes en contactarnos: expertos@ransecurity.com

Noticias relacionadas