{"id":22387,"date":"2020-07-28T12:18:29","date_gmt":"2020-07-28T10:18:29","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22387"},"modified":"2020-07-28T15:45:07","modified_gmt":"2020-07-28T13:45:07","slug":"mata-framework","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mata-framework\/22387\/","title":{"rendered":"MATA: un framework multipiattaforma per malware"},"content":{"rendered":"<p>Il set di strumenti di cui dispongono i cybercriminali \u00e8 in continua evoluzione. L\u2019esempio pi\u00f9 recente: il pericoloso framework MATA recentemente scoperto dai nostri esperti. I criminali informatici lo hanno utilizzato per attaccare infrastrutture aziendali in tutto il mondo. Pu\u00f2 funzionare con vari sistemi operativi e vanta un\u2019ampia gamma di strumenti dannosi.<\/p>\n<p>I cybercriminali possono potenzialmente utilizzare MATA per una grande variet\u00e0 di scopi. Tuttavia, nei casi che abbiamo analizzato, i criminali informatici cercavano di ottenere dati dai database dei clienti nelle infrastrutture delle vittime. In almeno un caso, hanno anche usato MATA per diffondere dei ransomware (i nostri esperti elaboreranno uno studio a parte su questo incidente).<\/p>\n<p>Il raggio di azione dei cybercriminali era piuttosto ampio. Tra le vittime identificate di MATA vi erano sviluppatori di software, provider Internet, siti di e-commerce e altro. Anche la geografia dell\u2019attacco era piuttosto estesa, abbiamo rilevato tracce dell\u2019attivit\u00e0 del gruppo in Polonia, Germania, Turchia, Corea, Giappone e India.<\/p>\n<h2>MATA: perch\u00e9 si tratta di un framework?<\/h2>\n<p>MATA non \u00e8 semplicemente un malware dalle numerose funzionalit\u00e0. \u00c8 una sorta di \u201ccostruttore\u201d che carica i tool quando e come richiesto. E poi MATA pu\u00f2 attaccare i computer che impiegano i tre sistemi operativi pi\u00f9 diffusi: Windows, Linux e macOS.<\/p>\n<h2>Windows<\/h2>\n<p>In primo luogo, i nostri esperti hanno rilevato attacchi MATA rivolti a dispositivi Windows. Essi si svolgono in diverse fasi. All\u2019inizio, gli operatori MATA avviano un loader sul computer della vittima che impiega il cosiddetto modulo orchestratore, che, a sua volta, scarica moduli capaci di tutta una serie di funzionalit\u00e0 dannose.<\/p>\n<p>A seconda delle caratteristiche dello specifico scenario di attacco, i moduli possono essere caricati da un server HTTP o HTTPS remoto, da un file cifrato sul disco rigido o trasferiti attraverso l\u2019infrastruttura MataNet su una connessione TLS 1.2. I plug-in MATA assortiti possono:<\/p>\n<ul>\n<li>Eseguire cmd.exe \/c o powershell.exe con parametri aggiuntivi e raccogliere le risposte a questi comandi;<\/li>\n<li>Manipolare processi (rimuovere, creare, ecc.);<\/li>\n<li>Verificare la presenza di una connessione TCP con un indirizzo specifico (o un intervallo di indirizzi);<\/li>\n<li>Creare un server proxy HTTP in attesa di connessioni TCP in entrata;<\/li>\n<li>Manipolare i file (scrivere dati, inviare o eliminare contenuti, ecc.);<\/li>\n<li>Iniettare file DLL nei processi in corso;<\/li>\n<li>Connettersi a server remoti.<\/li>\n<\/ul>\n<h2>Linux e macOS<\/h2>\n<p>In seguito a ulteriori indagini, i nostri esperti hanno rilevato una serie di strumenti simili anche per Linux. Oltre alla versione Linux del modulo orchestratore e dei plug-in, questo set contiene l\u2019<a href=\"https:\/\/threatpost.com\/socat-warns-weak-prime-number-could-mean-its-backdoored\/116104\/\" target=\"_blank\" rel=\"noopener nofollow\">utility legittima a riga di comando Socat<\/a> e gli script per sfruttare la vulnerabilit\u00e0 CVE-2019-3396 di Atlassian Confluence Server.<\/p>\n<p>Il set di plug-in \u00e8 in qualche modo diverso da quello di Windows. In particolare, c\u2019\u00e8 un plug-in aggiuntivo attraverso il quale MATA cerca di stabilire una connessione TCP utilizzando la porta 8291 (utilizzata per amministrare i dispositivi che eseguono RouterOS) e la porta <a href=\"https:\/\/www.adminsub.net\/tcp-udp-port-finder\/8292\" target=\"_blank\" rel=\"noopener nofollow\">8292<\/a> (utilizzata nel software Bloomberg Professional). Se il tentativo di stabilire una connessione ha successo, il plug-in trasferisce il registro al server C&amp;C. Presumibilmente, questa funzione serve a localizzare nuovi obiettivi.<\/p>\n<p>Per quanto riguarda gli strumenti macOS, sono stati individuati in un\u2019applicazione trojanizzata basata su un software open-source. In termini di funzionalit\u00e0, la versione di macOS \u00e8 quasi identica al suo cugino Linux.<\/p>\n<p>Per una descrizione tecnica dettagliata del framework e per gli indicatori di compromissione, potete leggere il nostro <a href=\"https:\/\/securelist.com\/mata-multi-platform-targeted-malware-framework\/97746\/\" target=\"_blank\" rel=\"noopener\">post su Securelist<\/a>.<\/p>\n<h2>Come difendersi<\/h2>\n<p>I nostri esperti vedono un collegamento tra MATA e il gruppo APT Lazarus: gli attacchi perpetrati con questo framework sono decisamente mirati. I ricercatori sono certi che il framework MATA continuer\u00e0 a evolversi. Pertanto, consigliamo anche alle piccole imprese di pensare all\u2019impiego di tecnologie avanzate per proteggersi non solo dalle minacce su larga scala, ma anche da quelle pi\u00f9 complesse. In particolare, offriamo una soluzione integrata che combina le funzionalit\u00e0 Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR) con strumenti aggiuntivi. Per maggiori informazioni, potete consultare la <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security\/endpoint-security-solution?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">nostra pagina dedicata<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>I nostri esperti hanno individuato un framework malware che i cybercriminali utilizzano per attaccare vari sistemi operativi. <\/p>\n","protected":false},"author":2581,"featured_media":22388,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[830,2763],"class_list":{"0":"post-22387","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attacchi-mirati","11":"tag-lazarus"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mata-framework\/22387\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mata-framework\/21618\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mata-framework\/17082\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mata-framework\/8456\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mata-framework\/22890\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mata-framework\/21077\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mata-framework\/19759\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mata-framework\/23556\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mata-framework\/28793\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mata-framework\/8655\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mata-framework\/36458\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mata-framework\/15353\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mata-framework\/15887\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mata-framework\/13711\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mata-framework\/24769\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mata-framework\/28875\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mata-framework\/25729\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mata-framework\/22638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mata-framework\/27903\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mata-framework\/27739\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/attacchi-mirati\/","name":"attacchi mirati"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22387"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22387\/revisions"}],"predecessor-version":[{"id":22416,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22387\/revisions\/22416"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22388"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}