Обновленная версия фреймворка MATA была обнаружена в атаках, направленных против компаний нефтегазового сектора и оборонной промышленности Восточной Европы с августа 2022 года по май 2023 года. Об этом заявилиспециалисты Лаборатории Касперского в новом отчёте.
Злоумышленники использовали специализированные фишинговые электронные письма, чтобы обмануть жертв, заставив их скачать вредоносные файлы, которые эксплуатируют уязвимость CVE-2021-26411 (CVSS: 7.5) в Internet Explorer для инициирования цепочки заражения.
Обновленный фреймворк MATA объединяет загрузчик, основной троян и инфостилер, чтобы обеспечить скрытый доступ и устойчивость в целевых сетях. Новая версия MATA схожа с предыдущими версиями, связанными с северокорейской группировкой Lazarus, но обладает обновленными возможностями. В частности, распространение вредоносного ПО по всей корпоративной сети осуществляется путем нарушения средств безопасности и эксплуатации их недостатков.
В сентябре 2022 года после анализа двух образцов MATA, коммуницирующих с серверами управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) внутри скомпрометированных корпоративных сетей, Лаборатория Касперского обнаружила неправомерную активность. Дальнейший анализ показал, что нарушенные системы были серверами финансового ПО, подключенными к множеству дочерних предприятий целевой организации.
В результате исследования выяснилось, что хакеры расширили свое присутствие, перейдя от одного контроллера домена на производственном объекте ко всей корпоративной сети. Кроме того, атакующие получили доступ к двум административным панелям решений безопасности и использовали их для наблюдения за инфраструктурой организации и распространения вредоносного ПО.
Специалисты сообщили о трех новых версиях вредоносного ПО MATA с различными возможностями. Новейшая версия поддерживает:
- обширные возможности удаленного управления, что позволяет контролировать зараженные системы на расстоянии, выполняя различные операции без прямого вмешательства;
- множество протоколов (TCP, SSL, PSSL и PDTLS), что делает MATA более гибкой и устойчивой к блокировке;
- прокси (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM), что позволяет обходить сетевые фильтры и скрывать истинное местоположение киберпреступника.
Более того, дополнительные плагины, загруженные на вредоносное ПО, позволяют запускать еще 75 команд, связанных с сбором информации, управлением процессами, управлением файлами, сетевой разведкой, функциональностью прокси и удаленным выполнением команд.
Другие интересные находки включают новый модуль вредоносного ПО, который может использовать съемные носители данных, такие как USB, для инфицирования изолированных систем, а также различные инструменты для кражи данных, которые могут захватывать учетные данные, куки, скриншоты и содержимое буфера обмена.
Стоит отметить, что Лаборатория Касперского ранее связывала MATA с группой Lazarus, но теперь у специалистов не уверены в связи MATA с данной группой.