Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Предприятия Восточной Европа атакуют с помощью новой версии фреймворка MATA

20/10/23

hack34-Oct-20-2023-11-25-36-7358-AM

 

 

 

Обновленная версия фреймворка MATA была обнаружена в атаках, направленных против компаний нефтегазового сектора и оборонной промышленности Восточной Европы с августа 2022 года по май 2023 года. Об этом заявили специалисты Лаборатории Касперского в новом отчёте, передает Securitylab.

Злоумышленники использовали специализированные фишинговые электронные письма, чтобы обмануть жертв, заставив их скачать вредоносные файлы, которые эксплуатируют уязвимость CVE-2021-26411 (CVSS: 7.5) в Internet Explorer для инициирования цепочки заражения.

Обновленный фреймворк MATA объединяет загрузчик, основной троян и инфостилер, чтобы обеспечить скрытый доступ и устойчивость в целевых сетях. Новая версия MATA схожа с предыдущими версиями, связанными с северокорейской группировкой Lazarus, но обладает обновленными возможностями. В частности, распространение вредоносного ПО по всей корпоративной сети осуществляется путем нарушения средств безопасности и эксплуатации их недостатков.

В сентябре 2022 года после анализа двух образцов MATA, коммуницирующих с серверами управления и контроля (Command and Control, C2) внутри скомпрометированных корпоративных сетей, Лаборатория Касперского обнаружила неправомерную активность. Дальнейший анализ показал, что нарушенные системы были серверами финансового ПО, подключенными к множеству дочерних предприятий целевой организации.

В результате исследования выяснилось, что хакеры расширили свое присутствие, перейдя от одного контроллера домена на производственном объекте ко всей корпоративной сети. Кроме того, атакующие получили доступ к двум административным панелям решений безопасности и использовали их для наблюдения за инфраструктурой организации и распространения вредоносного ПО.

Специалисты сообщили о трех новых версиях вредоносного ПО MATA с различными возможностями. Новейшая версия поддерживает:

  • обширные возможности удаленного управления, что позволяет контролировать зараженные системы на расстоянии, выполняя различные операции без прямого вмешательства;
  • множество протоколов (TCP, SSL, PSSL и PDTLS), что делает MATA более гибкой и устойчивой к блокировке;
  • прокси (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM), что позволяет обходить сетевые фильтры и скрывать истинное местоположение киберпреступника.

Более того, дополнительные плагины, загруженные на вредоносное ПО, позволяют запускать еще 75 команд, связанных с сбором информации, управлением процессами, управлением файлами, сетевой разведкой, функциональностью прокси и удаленным выполнением команд.

Другие интересные находки включают новый модуль вредоносного ПО, который может использовать съемные носители данных, такие как USB, для инфицирования изолированных систем, а также различные инструменты для кражи данных, которые могут захватывать учетные данные, куки, скриншоты и содержимое буфера обмена.

Стоит отметить, что Лаборатория Касперского ранее связывала MATA с группой Lazarus, но теперь у специалистов не уверены в связи MATA с данной группой.

Темы:ЕвропаПреступленияЛКиндустриальные кибератаки
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...