Актуализирана версия на усъвършенстваната MATA Framework със задна врата, е използвана при атаки, насочени към над дузина източноевропейски компании в петролния и газовия сектор и отбранителната индустрия, като част от операция за кибершпионаж, проведена между август 2022 г. и май 2023 г.

„Хакерите, стоящи зад атаката, са използвали spear-phishing имейли, за да се насочат към няколко жертви, като някои от тях са били заразени с изпълним зловреден софтуер за Windows чрез изтегляне на файлове през интернет браузър“, заявиха от  Kaspersky  в нов изчерпателен доклад, публикуван тази седмица.

„Всеки фишинг документ съдържа външна връзка за извличане на отдалечена страница, съдържаща експлойт CVE-2021-26411.“

CVE-2021-26411 (CVSS оценка: 8.8) се отнася до уязвимост в Internet Explorer, която може да бъде задействана, за да се изпълни произволен код, като жертвата бъде подмамена да посети специално създаден сайт. Преди това тя е била използвана от Lazarus Group в началото на 2021 г. с цел насочване към изследователи в областта на сигурността.

Крос-платформената рамка MATA е документирана за първи път от руската компания за киберсигурност през юли 2020 г., свързвайки я с плодотворната севернокорейска държавно спонсорирана група в атаки, насочени към различни сектори в Полша, Германия, Турция, Корея, Япония и Индия от април 2018 г. насам.

Използването на обновена версия на MATA за нанасяне на удари по изпълнители на отбранителни дейности беше разкрито по-рано от Kaspersky през юли 2023 г., въпреки че приписването на Lazarus  остава в най-добрия случай слабо поради наличието на техники, използвани от APT  Five Eyes, като Purple Lambert, Magenta Lambert и Green Lambert.

MATA Framework

Въпреки това в повечето от зловредните документи на Microsoft Word, създадени от нападателите, е използван корейски шрифт, наречен Malgun Gothic, което предполага, че разработчикът е запознат с корейския език или работи в корейска среда.

Руската компания за киберсигурност Positive Technologies, която сподели подробности за същата рамка в края на миналия месец, проследява операторите под псевдонима Dark River.

„Основният инструмент на групата, бекдорът MataDoor, има модулна архитектура, със сложна, старателно разработена система за мрежови преноси и гъвкави възможности за комуникация между оператора на бекдора и заразената машина“, казват изследователите по сигурността Денис Кувшинов и Максим Андреев.

„Анализът на кода показва, че разработчиците са инвестирали значителни ресурси в инструмента.“

Последните вериги от атаки започват с изпращане от страна на извършителя на spear-phishing документи до целите, като в някои случаи той се представя за легитимни служители, което показва предварително разузнаване и задълбочена подготовка. Тези документи включват връзка към HTML страница, в която е вграден експлойт за CVE-2021-26411.

Успешното компрометиране води до изпълнение на зареждащ модул, който на свой ред извлича модул Validator от отдалечен сървър, за да изпраща системна информация и да изтегля и качва файлове към и от сървъра за управление и контрол (C2).

Модулът Validator също така е проектиран да извлича MataDoor, който според Kasperksy е MATA от четвърто поколение, който е оборудван за изпълнение на широк набор от команди, способни да събират чувствителна информация от компрометирани системи.

Атаките се характеризират още с използването на зловреден софтуер за кражба на съдържание от клипборда, записване на натискания на клавиши, правене на скрийншоти и изсмукване на пароли и бисквитки от Windows Credential Manager и Internet Explorer.

Друг заслужаващ внимание инструмент е USB модул за разпространение, който позволява изпращане на команди към заразената система чрез сменяем носител, което вероятно позволява на членовете на  заплахата да проникнат в мрежи с въздушна охрана. Използван е и експлойт, наречен CallbackHell, за повишаване на привилегиите и заобикаляне на продуктите за защита на крайни точки, така че да постигнат целите си, без да привличат внимание.

Kaspersky съобщи, че е открил и нов вариант на MATA, наречен MATA generation 5 или MATAv5, който е „напълно пренаписан от нулата“ и „демонстрира усъвършенствана и сложна архитектура, използваща зареждащи се и вградени модули и плъгини“.

„Зловредният софтуер използва вътрешно каналите за междупроцесна комуникация (IPC) и използва разнообразен набор от команди, което му позволява да създава прокси вериги в различни протоколи – също и в средата на жертвата“, добави компанията.

Като цяло рамката MATA и нейният коктейл от плъгини включват поддръжка за над 100 команди, свързани със събиране на информация, наблюдение на събития, управление на процеси, управление на файлове, разузнаване на мрежи и прокси функционалност.

„Акторът демонстрира високи възможности за навигация и използване на решения за сигурност, внедрени в средата на жертвата“, заявиха от Kaspersky.

„Атакуващите използваха много техники за прикриване на дейността си: руткитове и уязвими драйвери, маскиране на файлове като легитимни приложения, използване на портове, отворени за комуникация между приложения, многостепенно криптиране на файловете и мрежовата активност на зловредния софтуер, [и] задаване на дълго време за изчакване между връзките с контролните сървъри.“

 

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
06/02/2025

Нападателите се насочват къ...

Кампания за фишинг се възползва от...
06/02/2025

Руските хакери са използвал...

Руски групи за заплахи са провеждали...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!