Новости От MATA ничего хорошего: кибератаки парализуют промышленность Европы

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Интернет Explorer — новый троянский конь для Восточной Европы.


jh990mzoyyu8l43zf5ik4iaxloegmy92.jpg


Обновленная версия фреймворка MATA была обнаружена в атаках, направленных против компаний нефтегазового сектора и оборонной промышленности Восточной Европы с августа 2022 года по май 2023 года. Об этом Для просмотра ссылки Войди или Зарегистрируйся специалисты Лаборатории Касперского в новом отчёте.

Злоумышленники использовали специализированные фишинговые электронные письма, чтобы обмануть жертв, заставив их скачать вредоносные файлы, которые эксплуатируют уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.5) в Internet Explorer для инициирования цепочки заражения.

Обновленный фреймворк MATA объединяет загрузчик, основной троян и инфостилер , чтобы обеспечить скрытый доступ и устойчивость в целевых сетях. Новая версия MATA схожа с предыдущими версиями, связанными с северокорейской группировкой Lazarus, но обладает обновленными возможностями. В частности, распространение вредоносного ПО по всей корпоративной сети осуществляется путем нарушения средств безопасности и эксплуатации их недостатков.

В сентябре 2022 года после анализа двух образцов MATA, коммуницирующих с серверами управления и контроля (Command and Control, C2 ) внутри скомпрометированных корпоративных сетей, Лаборатория Касперского обнаружила неправомерную активность. Дальнейший анализ показал, что нарушенные системы были серверами финансового ПО, подключенными к множеству дочерних предприятий целевой организации.

В результате исследования выяснилось, что хакеры расширили свое присутствие, перейдя от одного контроллера домена на производственном объекте ко всей корпоративной сети. Кроме того, атакующие получили доступ к двум административным панелям решений безопасности и использовали их для наблюдения за инфраструктурой организации и распространения вредоносного ПО.

Специалисты сообщили о трех новых версиях вредоносного ПО MATA с различными возможностями. Новейшая версия поддерживает:

  • обширные возможности удаленного управления, что позволяет контролировать зараженные системы на расстоянии, выполняя различные операции без прямого вмешательства;
  • множество протоколов ( TCP , SSL , PSSL и PDTLS), что делает MATA более гибкой и устойчивой к блокировке;
  • прокси (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM), что позволяет обходить сетевые фильтры и скрывать истинное местоположение киберпреступника.

Более того, дополнительные плагины, загруженные на вредоносное ПО, позволяют запускать еще 75 команд, связанных с сбором информации, управлением процессами, управлением файлами, сетевой разведкой, функциональностью прокси и удаленным выполнением команд.

Другие интересные находки включают новый модуль вредоносного ПО, который может использовать съемные носители данных, такие как USB, для инфицирования изолированных систем, а также различные инструменты для кражи данных, которые могут захватывать учетные данные, куки, скриншоты и содержимое буфера обмена.

Стоит отметить, что Лаборатория Касперского ранее связывала MATA с группой Lazarus, но теперь у специалистов не уверены в связи MATA с данной группой.
 
Источник новости
www.securitylab.ru

Похожие темы