暴风行动 -利用MATA框架针对数字货币行业的攻击活动揭秘

MATA框架是近期被卡巴斯基披露的一个多平台恶意软件框架，支持Windows、Linux和MacOS等多个主流平台，并拥有多个不同功能的攻击组件。该恶意框架的受害者广泛分布在波兰，德国，土耳其，韩国，日本和印度等地区，卡巴斯基认为该恶意软件框架与Lazarus 组织存在关联。

在MATA框架被披露后，360高级威胁研究院依靠360安全大脑针对MATA框架的攻击活动进行了追踪溯源，进而发现了一类利用MATA框架针对加密货币行业相关人员的攻击活动。通过360安全大脑的遥测，我们发现受害者主要集中在数字货币行业，一些数字货币交易平台正在遭受威胁，除了大型的数字货币交易平台，一些持有加密货币的个体也受到攻击活动的波及。

攻击活动分析

依靠360安全大脑的智能分析，我们还原了该组织的完整攻击过程。首先该组织根据数字货币行业人员常用的开源软件，定制了一批嵌入了恶意代码的软件工具包。然后冒充行业人士角色进入了数字货币行业的社交圈，在骗取目标人物的信任后，通过IM等社交工具投递目标所需的恶意软件工具包进行攻击。根据数字货币行业的被攻击趋势推测，该组织在攻陷目标后续会针对目标和相关企业持续渗透，进行一系列的数字货币窃取行动。

该组织在此次攻击活动中投递的开源软件工具包一般是压缩文档形式，文档在解压后会释放经过嵌入恶意代码的“开源程序”，同时释放一个恶意dll文件，这个额外的dll文件具备远程下载和内存执行的功能。伪装的“开源程序”会执行“rundll32.exe **.dll,UpdateCheck”命令，用于加载这个恶意dll文件，通过下载器和rat工具最终部署MATA框架。

伪装开源软件

我们捕获发现了多款该组织投递的伪装开源软件工具，其中三款是RemoteDesktopOverNetwork、winauth和Employee-Management-System。

• RemoteDesktopOverNetwork

一款开源的远程桌面软件，主要用于用户的远程桌面协助。

• Winauth

一款开源的windows版二步验证器，支持流向游戏网站和比特币交易网站的二步验证密码管理。

• Employee-Management-System

一款开源的员工管理系统软件，用于管理员工详细信息和工资信息。

通过进一步代码比对后可以发现，这三款伪装的开源软件工具中不同关键函数都被攻击者加入了“rundll32.exe **.dll,UpdateCheck”命令用于执行后门程序。

• RemoteDesktopOverNetwork

RemoteDesktopOverNetwork源码

添加的恶意代码

• Winauth

Winauth源码

添加的恶意代码

• EmployeeManagementSystem

EmployeeManagementSystem源码

添加的恶意代码

MATA部署流程

恶意dll启动后所执行的rat工具负责部署MATA框架，该工具会在目标机器上执行powershell命令，从远程拉取另外一段powershell脚本执行。powershell的功能比较简单，主要是从远程地址下载映像，执行该映像的导出函数。

经过确认该映像就是mata恶意软件框架中的调度器。攻击者使用powershell加载映像执行的利用方式，可以延长利用链，增加分析难度。

除了上述方式外，我们也观察到另外一种部署mata的方式，这是一种已知的uac绕过的利用方式。

1. 设置DelegateExecute注册表键值HKCU\Software\Classes\ms-settings\shell\open\command\DelegateExecute

2. 将command注册表键值设置为要执行的命令

3. 启动computerdefaults.exe，可以以高权限执行设置的命令。

我们观测到了其完整的利用过程，设置如下的攻击命令：

“C:\Users\Public\gxwnk.exe C:\Users\Public\homnse.dll C:\Users\Public\f9d9fbd.dat c:\windows\system32\f9d9fbd.dat”

其中的gxwnk.exe为MATA框架的加载器。

MATA部署工具

• 下载器

该程序使用硬编码的地址，从远程获取数据，使用aes算法解密后的数据是一个pe映像，通过反射加载该映像，进入入口点执行代码。其下载的pe映像没有落地，是直接映射到内存执行。就目前已知的样本而言，解密pe映像的aes key每个文件都不同，但是解密api函数名的aes key都相同。

程序使用硬编码的地址，从远程获取数据。

程序使用aes算法解密数据后，反射加载PE映像，进入入口点的代码执行

程序使用AES-cbc算法加密数据，这种加密算法也在mata的加载器中采用。就目前已知的样本而言，解密pe映像的aes key（和iv）每个文件都不同，但是与解密api函数名的aes key(和iv)都相同。

• rat工具

在rat工具中同样硬编码了三个c&c地址，程序每次执行都会从中随机选择一个用于后续通信，根据c&c下发的控制指令执行不同的功能，其网络通信的数据使用rc4算法加密。相关控制指令和功能如下：

指令	功能
0x7FC0A4	执行cmd命令
0x48D6FC	创建进程
0x484B81	读文件
0x48C82A	下载文件
0x3B187D	退出
0x21279E	写文件
0x2AFCB2	信息窃取

从rat工具的功能看，rat工具类似mata框架的简化版，部分功能实现方法非常相似。如rat工具执行cmd命令功能会使用如下字符串方式拼接命令

而MATA框架的相关功能也使用了同样的字符串拼接方式

MATA特殊样本

在此次攻击活动中，我们看到了常规的MATA框架已被披露的加载器、调度器，还捕获到一类同时兼具调度器和插件的功能的新样本，目前还未被其他安全厂商披露。这类样本大多数以dll形式存在，通过创建名称为”WinUsbD”和” wauserv”的服务实现持久化。

程序的初始逻辑与正常的MATA框架调度器相同

其中也包含了MATA框架各个插件的“注册”流程

程序后续也会和常规的MATA框架一样进入远程交互流程，根据c&c服务器下发的指令，调用相应的函数处理进行不同的攻击动作。相关MATA框架的详细功能分析就不再赘述，此处已经被卡巴斯基详细披露。

攻击意图和归属分析

此次攻击活动中的部分样本编译时间与失陷机器上的活动时间十分相近，说明攻击者在制作出数字武器后马上就投入了攻击，间接表现出了攻击者迫切想从受害者处盗取数字货币资产的意图。该组织正在积极采用不同的开源程序作为“容器”来掩盖恶意行为，从攻击活动所利用开源软件的功能为出发点进行关联分析，我们推测攻击者进行的社会工程学攻击所扮演的身份角色是为了便于接近企业技术客服和寻求解决技术问题的用户等人群，而另一部分攻击活动甚至已经涉及到数字货币企业内部人事、财务等关键部门的相关人员。

众所周知，Lazarus组织近年来常以金融、数字货币等行业人员为攻击目标展开APT行动，而此次攻击活动所涉及的目标人员和企业机构，也同样是Lazarus组织所感兴趣的。360曾捕获过多次Lazarus组织针对数字货币行业的攻击行动，从这些攻击行动所使用的技战术看，其非常精通于改造行业人员所常使用的开源软件以加入后门程序，针对相关人员精心规划实施社会工程学攻击。综合相似的受害者角色和攻击技术特点，我们认为此次攻击活动的幕后组织与Lazarus 组织非常相近。

总结

自2017年以来，Lazarus组织将攻击目标不断扩大，主要以经济利益为目的，从针对全球的传统金融机构银行系统进行攻击，开始转向于针对全球加密货币组织和相关机构以及个人进行攻击，相关机构和个人都需要提高警惕。360高级威胁研究院将持续监测该组织的攻击活动，目前360威胁情报云、APT全景雷达等360全线安全产品已经支持对该组织的攻击检测。