Актуализирана версия на усъвършенстваната MATA Framework със задна врата, е използвана при атаки, насочени към над дузина източноевропейски компании в петролния и газовия сектор и отбранителната индустрия, като част от операция за кибершпионаж, проведена между август 2022 г. и май 2023 г.
„Хакерите, стоящи зад атаката, са използвали spear-phishing имейли, за да се насочат към няколко жертви, като някои от тях са били заразени с изпълним зловреден софтуер за Windows чрез изтегляне на файлове през интернет браузър“, заявиха от Kaspersky в нов изчерпателен доклад, публикуван тази седмица.
„Всеки фишинг документ съдържа външна връзка за извличане на отдалечена страница, съдържаща експлойт CVE-2021-26411.“
CVE-2021-26411 (CVSS оценка: 8.8) се отнася до уязвимост в Internet Explorer, която може да бъде задействана, за да се изпълни произволен код, като жертвата бъде подмамена да посети специално създаден сайт. Преди това тя е била използвана от Lazarus Group в началото на 2021 г. с цел насочване към изследователи в областта на сигурността.
Крос-платформената рамка MATA е документирана за първи път от руската компания за киберсигурност през юли 2020 г., свързвайки я с плодотворната севернокорейска държавно спонсорирана група в атаки, насочени към различни сектори в Полша, Германия, Турция, Корея, Япония и Индия от април 2018 г. насам.
Използването на обновена версия на MATA за нанасяне на удари по изпълнители на отбранителни дейности беше разкрито по-рано от Kaspersky през юли 2023 г., въпреки че приписването на Lazarus остава в най-добрия случай слабо поради наличието на техники, използвани от APT Five Eyes, като Purple Lambert, Magenta Lambert и Green Lambert.
Въпреки това в повечето от зловредните документи на Microsoft Word, създадени от нападателите, е използван корейски шрифт, наречен Malgun Gothic, което предполага, че разработчикът е запознат с корейския език или работи в корейска среда.
Руската компания за киберсигурност Positive Technologies, която сподели подробности за същата рамка в края на миналия месец, проследява операторите под псевдонима Dark River.
„Основният инструмент на групата, бекдорът MataDoor, има модулна архитектура, със сложна, старателно разработена система за мрежови преноси и гъвкави възможности за комуникация между оператора на бекдора и заразената машина“, казват изследователите по сигурността Денис Кувшинов и Максим Андреев.
„Анализът на кода показва, че разработчиците са инвестирали значителни ресурси в инструмента.“
Последните вериги от атаки започват с изпращане от страна на извършителя на spear-phishing документи до целите, като в някои случаи той се представя за легитимни служители, което показва предварително разузнаване и задълбочена подготовка. Тези документи включват връзка към HTML страница, в която е вграден експлойт за CVE-2021-26411.
Успешното компрометиране води до изпълнение на зареждащ модул, който на свой ред извлича модул Validator от отдалечен сървър, за да изпраща системна информация и да изтегля и качва файлове към и от сървъра за управление и контрол (C2).
Модулът Validator също така е проектиран да извлича MataDoor, който според Kasperksy е MATA от четвърто поколение, който е оборудван за изпълнение на широк набор от команди, способни да събират чувствителна информация от компрометирани системи.
Атаките се характеризират още с използването на зловреден софтуер за кражба на съдържание от клипборда, записване на натискания на клавиши, правене на скрийншоти и изсмукване на пароли и бисквитки от Windows Credential Manager и Internet Explorer.
Друг заслужаващ внимание инструмент е USB модул за разпространение, който позволява изпращане на команди към заразената система чрез сменяем носител, което вероятно позволява на членовете на заплахата да проникнат в мрежи с въздушна охрана. Използван е и експлойт, наречен CallbackHell, за повишаване на привилегиите и заобикаляне на продуктите за защита на крайни точки, така че да постигнат целите си, без да привличат внимание.
Kaspersky съобщи, че е открил и нов вариант на MATA, наречен MATA generation 5 или MATAv5, който е „напълно пренаписан от нулата“ и „демонстрира усъвършенствана и сложна архитектура, използваща зареждащи се и вградени модули и плъгини“.
„Зловредният софтуер използва вътрешно каналите за междупроцесна комуникация (IPC) и използва разнообразен набор от команди, което му позволява да създава прокси вериги в различни протоколи – също и в средата на жертвата“, добави компанията.
Като цяло рамката MATA и нейният коктейл от плъгини включват поддръжка за над 100 команди, свързани със събиране на информация, наблюдение на събития, управление на процеси, управление на файлове, разузнаване на мрежи и прокси функционалност.
„Акторът демонстрира високи възможности за навигация и използване на решения за сигурност, внедрени в средата на жертвата“, заявиха от Kaspersky.
„Атакуващите използваха много техники за прикриване на дейността си: руткитове и уязвими драйвери, маскиране на файлове като легитимни приложения, използване на портове, отворени за комуникация между приложения, многостепенно криптиране на файловете и мрежовата активност на зловредния софтуер, [и] задаване на дълго време за изчакване между връзките с контролните сървъри.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.