Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Киберпреступники атакуют ОС с помощью нового вредоносного ПО MATA

23/07/20

hack75-Jul-23-2020-11-28-21-38-AMСпециалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру.

Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии.

Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий нечто вроде «командного центра» (оркестратора), а он в свою очередь скачивает необходимые модули.

В зависимости от атаки модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2. Плагины MATA способны запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.

Позже эксперты обнаружили аналогичный набор инструментов для Linux и macOS, в котором присутствовала легитимная утилита для командной строки Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.

Как полагают специалисты, MATA связана с киберпреступной группировкой Lazarus. Оркестратор MATA использует два уникальных имени файла, c_2910.cls и k_3872.cls, ранее замеченные только в нескольких вариантах вредоноса Manuscrypt, который группировка Lazarus использовала в ряде кибератак. Кроме того, MATA использует глобальные данные конфигурации, включая случайно сгенерированный идентификатор сеанса, информацию о версии на основе даты, интервал ожидания и несколько адресов C&C-серверов. Один из вариантов Manuscrypt имеет похожую структуру конфигурации с инфраструктурой MATA.

Темы:УгрозыЛК
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...