Актуализирана версия на усъвършенстваната MATA Framework със задна врата, е използвана при атаки, насочени към над дузина източноевропейски компании в петролния и газовия сектор и отбранителната индустрия, като част от операция за кибершпионаж, проведена между август 2022 г. и май 2023 г.

„Хакерите, стоящи зад атаката, са използвали spear-phishing имейли, за да се насочат към няколко жертви, като някои от тях са били заразени с изпълним зловреден софтуер за Windows чрез изтегляне на файлове през интернет браузър“, заявиха от  Kaspersky  в нов изчерпателен доклад, публикуван тази седмица.

„Всеки фишинг документ съдържа външна връзка за извличане на отдалечена страница, съдържаща експлойт CVE-2021-26411.“

CVE-2021-26411 (CVSS оценка: 8.8) се отнася до уязвимост в Internet Explorer, която може да бъде задействана, за да се изпълни произволен код, като жертвата бъде подмамена да посети специално създаден сайт. Преди това тя е била използвана от Lazarus Group в началото на 2021 г. с цел насочване към изследователи в областта на сигурността.

Крос-платформената рамка MATA е документирана за първи път от руската компания за киберсигурност през юли 2020 г., свързвайки я с плодотворната севернокорейска държавно спонсорирана група в атаки, насочени към различни сектори в Полша, Германия, Турция, Корея, Япония и Индия от април 2018 г. насам.

Използването на обновена версия на MATA за нанасяне на удари по изпълнители на отбранителни дейности беше разкрито по-рано от Kaspersky през юли 2023 г., въпреки че приписването на Lazarus  остава в най-добрия случай слабо поради наличието на техники, използвани от APT  Five Eyes, като Purple Lambert, Magenta Lambert и Green Lambert.

Въпреки това в повечето от зловредните документи на Microsoft Word, създадени от нападателите, е използван корейски шрифт, наречен Malgun Gothic, което предполага, че разработчикът е запознат с корейския език или работи в корейска среда.

Руската компания за киберсигурност Positive Technologies, която сподели подробности за същата рамка в края на миналия месец, проследява операторите под псевдонима Dark River.

„Основният инструмент на групата, бекдорът MataDoor, има модулна архитектура, със сложна, старателно разработена система за мрежови преноси и гъвкави възможности за комуникация между оператора на бекдора и заразената машина“, казват изследователите по сигурността Денис Кувшинов и Максим Андреев.

„Анализът на кода показва, че разработчиците са инвестирали значителни ресурси в инструмента.“

Последните вериги от атаки започват с изпращане от страна на извършителя на spear-phishing документи до целите, като в някои случаи той се представя за легитимни служители, което показва предварително разузнаване и задълбочена подготовка. Тези документи включват връзка към HTML страница, в която е вграден експлойт за CVE-2021-26411.

Успешното компрометиране води до изпълнение на зареждащ модул, който на свой ред извлича модул Validator от отдалечен сървър, за да изпраща системна информация и да изтегля и качва файлове към и от сървъра за управление и контрол (C2).

Модулът Validator също така е проектиран да извлича MataDoor, който според Kasperksy е MATA от четвърто поколение, който е оборудван за изпълнение на широк набор от команди, способни да събират чувствителна информация от компрометирани системи.

Атаките се характеризират още с използването на зловреден софтуер за кражба на съдържание от клипборда, записване на натискания на клавиши, правене на скрийншоти и изсмукване на пароли и бисквитки от Windows Credential Manager и Internet Explorer.

Друг заслужаващ внимание инструмент е USB модул за разпространение, който позволява изпращане на команди към заразената система чрез сменяем носител, което вероятно позволява на членовете на  заплахата да проникнат в мрежи с въздушна охрана. Използван е и експлойт, наречен CallbackHell, за повишаване на привилегиите и заобикаляне на продуктите за защита на крайни точки, така че да постигнат целите си, без да привличат внимание.

Kaspersky съобщи, че е открил и нов вариант на MATA, наречен MATA generation 5 или MATAv5, който е „напълно пренаписан от нулата“ и „демонстрира усъвършенствана и сложна архитектура, използваща зареждащи се и вградени модули и плъгини“.

„Зловредният софтуер използва вътрешно каналите за междупроцесна комуникация (IPC) и използва разнообразен набор от команди, което му позволява да създава прокси вериги в различни протоколи – също и в средата на жертвата“, добави компанията.

Като цяло рамката MATA и нейният коктейл от плъгини включват поддръжка за над 100 команди, свързани със събиране на информация, наблюдение на събития, управление на процеси, управление на файлове, разузнаване на мрежи и прокси функционалност.

„Акторът демонстрира високи възможности за навигация и използване на решения за сигурност, внедрени в средата на жертвата“, заявиха от Kaspersky.

„Атакуващите използваха много техники за прикриване на дейността си: руткитове и уязвими драйвери, маскиране на файлове като легитимни приложения, използване на портове, отворени за комуникация между приложения, многостепенно криптиране на файловете и мрежовата активност на зловредния софтуер, [и] задаване на дълго време за изчакване между връзките с контролните сървъри.“