«Лаборатория Касперского» представила отчёт, посвящённый атакам обновлённого вредоносного ПО MATA на промышленные компании в Восточной Европе.
Эксперты по кибербезопасности «Лаборатории Касперского» сообщили, что в начале сентября 2022 года компания обратила внимание на несколько случаев выявления вредоносного программного обеспечения MATA. Это ПО ранее связывалось с известной хакерской группировкой из Северной Кореи под названием Lazarus. В качестве жертв этой киберпреступной кампании рассматривались подрядчики в сфере оборонной отрасли Восточной Европы. Кибератаки продолжались вплоть до мая 2023 года.
За этот период экспертам «Лаборатории Касперского» частично удалось раскрыть цепочку заражения, выявить множество новых модулей вредоносного ПО, включая импланты для проникновения в изолированные сети с применением USB-носителей, а также Linux-бэкдоры. Для распространения новой версии вредоноса MATA хакеры использовали целевой фишинг. На стадии заражения применялись специализированные компоненты вредоносного софта, например, валидатор, позволяющий определять уровень интереса к скомпрометированной системы для дальнейшего развития кибератаки.
Чтобы продвигаться по скомпрометированной ИТ-инфраструктуре, хакеры применяли два защитных продукта, панели управления которыми им удалось захватить.
В найденных образцах MATA третьего и четвёртого поколения были обнаружены измененные механизмы шифрования, новые конфигурации и коммуникационные протоколы. Один из них киберпреступники полностью переписали с нуля. Новые версии вредоносного ПО MATA обладают инструментами для обхода сетевых ограничений, что позволяет хакерам создавать сложные цепочки прокси в IT-инфраструктуре компаний, а также использовать различные коммуникационные протоколы для обмена сообщениями с командным сервером.
Эксперты по кибербезопасности «Лаборатории Касперского» во время исследования также выявили новый вариант вредоносного ПО MATA, который был определён как MATA пятого поколения. Это сложный вредонос, полностью написанный с нуля. Он отличается комплексной архитектурой и поддерживает как встроенные, так и загружаемые модули. Вредонос MATA 5 имеет функции работы в качестве системной службы и загрузчика библиотек внутри произвольного процесса. ПО использует внутренние каналы межпроцессного взаимодействия и поддерживает широкий спектр команд, с помощью которых может организовывать цепочки прокси по разным протоколам как внутри, так и за пределами сетей компании.
Полная версия отчета представлена по ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
