Интернет Explorer — новый троянский конь для Восточной Европы.
Обновленная версия фреймворка MATA была обнаружена в атаках, направленных против компаний нефтегазового сектора и оборонной промышленности Восточной Европы с августа 2022 года по май 2023 года. Об этом Для просмотра ссылки Войдиили Зарегистрируйся специалисты Лаборатории Касперского в новом отчёте.
Злоумышленники использовали специализированные фишинговые электронные письма, чтобы обмануть жертв, заставив их скачать вредоносные файлы, которые эксплуатируют уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 7.5) в Internet Explorer для инициирования цепочки заражения.
Обновленный фреймворк MATA объединяет загрузчик, основной троян и инфостилер , чтобы обеспечить скрытый доступ и устойчивость в целевых сетях. Новая версия MATA схожа с предыдущими версиями, связанными с северокорейской группировкой Lazarus, но обладает обновленными возможностями. В частности, распространение вредоносного ПО по всей корпоративной сети осуществляется путем нарушения средств безопасности и эксплуатации их недостатков.
В сентябре 2022 года после анализа двух образцов MATA, коммуницирующих с серверами управления и контроля (Command and Control, C2 ) внутри скомпрометированных корпоративных сетей, Лаборатория Касперского обнаружила неправомерную активность. Дальнейший анализ показал, что нарушенные системы были серверами финансового ПО, подключенными к множеству дочерних предприятий целевой организации.
В результате исследования выяснилось, что хакеры расширили свое присутствие, перейдя от одного контроллера домена на производственном объекте ко всей корпоративной сети. Кроме того, атакующие получили доступ к двум административным панелям решений безопасности и использовали их для наблюдения за инфраструктурой организации и распространения вредоносного ПО.
Специалисты сообщили о трех новых версиях вредоносного ПО MATA с различными возможностями. Новейшая версия поддерживает:
Более того, дополнительные плагины, загруженные на вредоносное ПО, позволяют запускать еще 75 команд, связанных с сбором информации, управлением процессами, управлением файлами, сетевой разведкой, функциональностью прокси и удаленным выполнением команд.
Другие интересные находки включают новый модуль вредоносного ПО, который может использовать съемные носители данных, такие как USB, для инфицирования изолированных систем, а также различные инструменты для кражи данных, которые могут захватывать учетные данные, куки, скриншоты и содержимое буфера обмена.
Стоит отметить, что Лаборатория Касперского ранее связывала MATA с группой Lazarus, но теперь у специалистов не уверены в связи MATA с данной группой.
Обновленная версия фреймворка MATA была обнаружена в атаках, направленных против компаний нефтегазового сектора и оборонной промышленности Восточной Европы с августа 2022 года по май 2023 года. Об этом Для просмотра ссылки Войди
Злоумышленники использовали специализированные фишинговые электронные письма, чтобы обмануть жертв, заставив их скачать вредоносные файлы, которые эксплуатируют уязвимость Для просмотра ссылки Войди
Обновленный фреймворк MATA объединяет загрузчик, основной троян и инфостилер , чтобы обеспечить скрытый доступ и устойчивость в целевых сетях. Новая версия MATA схожа с предыдущими версиями, связанными с северокорейской группировкой Lazarus, но обладает обновленными возможностями. В частности, распространение вредоносного ПО по всей корпоративной сети осуществляется путем нарушения средств безопасности и эксплуатации их недостатков.
В сентябре 2022 года после анализа двух образцов MATA, коммуницирующих с серверами управления и контроля (Command and Control, C2 ) внутри скомпрометированных корпоративных сетей, Лаборатория Касперского обнаружила неправомерную активность. Дальнейший анализ показал, что нарушенные системы были серверами финансового ПО, подключенными к множеству дочерних предприятий целевой организации.
В результате исследования выяснилось, что хакеры расширили свое присутствие, перейдя от одного контроллера домена на производственном объекте ко всей корпоративной сети. Кроме того, атакующие получили доступ к двум административным панелям решений безопасности и использовали их для наблюдения за инфраструктурой организации и распространения вредоносного ПО.
Специалисты сообщили о трех новых версиях вредоносного ПО MATA с различными возможностями. Новейшая версия поддерживает:
- обширные возможности удаленного управления, что позволяет контролировать зараженные системы на расстоянии, выполняя различные операции без прямого вмешательства;
- множество протоколов ( TCP , SSL , PSSL и PDTLS), что делает MATA более гибкой и устойчивой к блокировке;
- прокси (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM), что позволяет обходить сетевые фильтры и скрывать истинное местоположение киберпреступника.
Более того, дополнительные плагины, загруженные на вредоносное ПО, позволяют запускать еще 75 команд, связанных с сбором информации, управлением процессами, управлением файлами, сетевой разведкой, функциональностью прокси и удаленным выполнением команд.
Другие интересные находки включают новый модуль вредоносного ПО, который может использовать съемные носители данных, такие как USB, для инфицирования изолированных систем, а также различные инструменты для кражи данных, которые могут захватывать учетные данные, куки, скриншоты и содержимое буфера обмена.
Стоит отметить, что Лаборатория Касперского ранее связывала MATA с группой Lazarus, но теперь у специалистов не уверены в связи MATA с данной группой.
- Источник новости
- www.securitylab.ru