Новоиспеченная киберпреступная группировка Dark River была выявлена как разработчик высокосложного модульного вредоносного кода MataDoor, целью которого является шпионаж и целенаправленные атаки на российскую оборонную промышленность. Эксперты по кибербезопасности из PT Expert Security Center раскрыли детали данной угрозы, которая была применена в атаках на отечественные оборонные предприятия.
MataDoor начинает свою инфильтрацию с фишинговых писем, вложения в которых (DOCX файлы) эксплуатируют уязвимость CVE-2021-40444. Письма убеждают получателей активировать режим редактирования документа, что, в свою очередь, инициирует эксплойт, компрометируя системы пользователей.
Один из уникальных аспектов MataDoor - это использование действительных цифровых подписей, применение обфускации через Themida, а также кодирование URL-адресов вредоносной нагрузки в формате HTML. Эти технические характеристики свидетельствуют о хорошо организованной и тщательно спланированной киберпреступной операции. По всей видимости, группировка, стоящая за MataDoor, имеет некоторые сходства с прошлыми инцидентами атак на российские оборонные объекты.
Бэкдор MataDoor характеризуется выдающейся сложностью, продвинутой архитектурой и эффективной транспортной системой, что позволяет вредоносному коду незаметно функционировать в скомпрометированных системах. Эксперты отмечают, что на разработку данного вредоносного ПО были потрачены значительные ресурсы, что указывает на серьезную угрозу в сфере кибершпионажа.