Контакты
Подписка
МЕНЮ
Контакты
Подписка

Киберпреступники атакуют ОС с помощью нового вредоносного ПО MATA

23/07/20

hack75-Jul-23-2020-11-28-21-38-AMСпециалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру.

Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии.

Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий нечто вроде «командного центра» (оркестратора), а он в свою очередь скачивает необходимые модули.

В зависимости от атаки модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2. Плагины MATA способны запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.

Позже эксперты обнаружили аналогичный набор инструментов для Linux и macOS, в котором присутствовала легитимная утилита для командной строки Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.

Как полагают специалисты, MATA связана с киберпреступной группировкой Lazarus. Оркестратор MATA использует два уникальных имени файла, c_2910.cls и k_3872.cls, ранее замеченные только в нескольких вариантах вредоноса Manuscrypt, который группировка Lazarus использовала в ряде кибератак. Кроме того, MATA использует глобальные данные конфигурации, включая случайно сгенерированный идентификатор сеанса, информацию о версии на основе даты, интервал ожидания и несколько адресов C&C-серверов. Один из вариантов Manuscrypt имеет похожую структуру конфигурации с инфраструктурой MATA.

Темы:УгрозыЛК

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

Еще темы...