20.10.2023 | От MATA ничего хорошего: кибератаки парализуют промышленность Европы |
Обновленная версия фреймворка MATA была обнаружена в атаках, направленных против компаний нефтегазового сектора и оборонной промышленности Восточной Европы с августа 2022 года по май 2023 года. Об этом заявили специалисты Лаборатории Касперского в новом отчёте. Злоумышленники использовали специализированные фишинговые электронные письма, чтобы обмануть жертв, заставив их скачать вредоносные файлы, которые эксплуатируют уязвимость CVE-2021-26411 (CVSS: 7.5) в Internet Explorer для инициирования цепочки заражения. Обновленный фреймворк MATA объединяет загрузчик, основной троян и инфостилер , чтобы обеспечить скрытый доступ и устойчивость в целевых сетях. Новая версия MATA схожа с предыдущими версиями, связанными с северокорейской группировкой Lazarus, но обладает обновленными возможностями. В частности, распространение вредоносного ПО по всей корпоративной сети осуществляется путем нарушения средств безопасности и эксплуатации их недостатков. В сентябре 2022 года после анализа двух образцов MATA, коммуницирующих с серверами управления и контроля (Command and Control, C2 ) внутри скомпрометированных корпоративных сетей, Лаборатория Касперского обнаружила неправомерную активность. Дальнейший анализ показал, что нарушенные системы были серверами финансового ПО, подключенными к множеству дочерних предприятий целевой организации. В результате исследования выяснилось, что хакеры расширили свое присутствие, перейдя от одного контроллера домена на производственном объекте ко всей корпоративной сети. Кроме того, атакующие получили доступ к двум административным панелям решений безопасности и использовали их для наблюдения за инфраструктурой организации и распространения вредоносного ПО. Специалисты сообщили о трех новых версиях вредоносного ПО MATA с различными возможностями. Новейшая версия поддерживает:
Более того, дополнительные плагины, загруженные на вредоносное ПО, позволяют запускать еще 75 команд, связанных с сбором информации, управлением процессами, управлением файлами, сетевой разведкой, функциональностью прокси и удаленным выполнением команд. Другие интересные находки включают новый модуль вредоносного ПО, который может использовать съемные носители данных, такие как USB, для инфицирования изолированных систем, а также различные инструменты для кражи данных, которые могут захватывать учетные данные, куки, скриншоты и содержимое буфера обмена. Стоит отметить, что Лаборатория Касперского ранее связывала MATA с группой Lazarus, но теперь у специалистов не уверены в связи MATA с данной группой. |
Проверить безопасность сайта