Gelişmiş bir arka kapı çerçevesinin güncellenmiş bir versiyonu MATA Ağustos 2022 ile Mayıs 2023 arasında gerçekleştirilen siber casusluk operasyonunun bir parçası olarak petrol ve gaz sektörü ile savunma sanayinde faaliyet gösteren bir düzineden fazla Doğu Avrupalı şirkete yönelik saldırılarda kullanıldı.
Kaspersky, “Saldırının arkasındaki aktörler, hedef odaklı kimlik avı e-postaları kullanarak birçok kurbanı hedef aldı; bazı kurbanlara, dosyaları bir internet tarayıcısı aracılığıyla indirerek Windows’un yürütülebilir kötü amaçlı yazılımları bulaştı.” söz konusu Bu hafta yayınlanan yeni kapsamlı bir raporda.
“Her kimlik avı belgesi, bir uzak sayfayı getirmek için harici bir bağlantı içerir. CVE-2021-26411 faydalanmak.”
CVE-2021-26411 (CVSS puanı: 8,8), Internet Explorer’da bir kurbanı özel hazırlanmış bir siteyi ziyaret etmeye kandırarak rastgele kod yürütmek üzere tetiklenebilecek bir bellek bozulması güvenlik açığını ifade eder. Daha önce 2021’in başlarında Lazarus Group tarafından güvenlik araştırmacılarını hedef almak için istismar edilmişti.
Platformlar arası MATA çerçevesi ilk olarak Rus siber güvenlik şirketi tarafından Temmuz 2020’de belgelendi ve bu çerçeve, Nisan 2018’den bu yana Polonya, Almanya, Türkiye, Kore, Japonya ve Hindistan’daki çeşitli sektörleri hedef alan saldırılarda Kuzey Kore devleti destekli üretken ekiple ilişkilendirildi. .
Savunma yüklenicilerine saldırmak için MATA’nın yenilenmiş bir versiyonunun kullanıldığı daha önce Temmuz 2023’te Kaspersky tarafından açıklanmıştı, ancak Lazarus Grubuna yapılan atıf, Purple Lambert, Magenta Lambert gibi Five Eyes APT aktörleri tarafından kullanılan tekniklerin varlığı nedeniyle en iyi ihtimalle zayıf kalıyor. ve Yeşil Lambert.
Bununla birlikte, saldırganlar tarafından oluşturulan kötü amaçlı Microsoft Word belgelerinin çoğunda Malgun Gotik adı verilen Korece bir yazı tipi bulunuyor ve bu da geliştiricinin ya Korece’ye aşina olduğunu ya da Kore ortamında çalıştığını gösteriyor.
Geçen ayın sonlarında aynı çerçevenin ayrıntılarını paylaşan Rus siber güvenlik şirketi Positive Technologies, Dark River adı altındaki operatörleri takip ediyor.
Güvenlik araştırmacıları Denis Kuvshinov ve Maxim Andreev, “Grubun ana aracı olan MataDoor arka kapısı, karmaşık, kapsamlı bir şekilde tasarlanmış ağ taşıma sistemi ve arka kapı operatörü ile virüs bulaşmış bir makine arasındaki iletişim için esnek seçenekler içeren modüler bir mimariye sahiptir.” söz konusu.
“Kod analizi, geliştiricilerin araca önemli miktarda kaynak yatırdığını gösteriyor.”
En son saldırı zincirleri, aktörün hedeflere hedef odaklı kimlik avı belgeleri göndermesiyle başlar; bazı durumlarda meşru çalışanların kimliğine bürünerek önceden keşif ve kapsamlı hazırlık yapıldığını gösterir. Bu belgeler, CVE-2021-26411’e yönelik bir istismarın yer aldığı HTML sayfasına bir bağlantı içerir.
Başarılı bir uzlaşma, sistem bilgilerini göndermek ve komut ve kontrol (C2) sunucusuna dosya indirmek ve yüklemek için uzak sunucudan bir Doğrulayıcı modülünü alan bir yükleyicinin yürütülmesine yol açar.
Doğrulayıcı ayrıca, Kasperksy’ye göre, güvenliği ihlal edilmiş sistemlerden hassas bilgiler toplayabilen çok çeşitli komutları çalıştıracak şekilde donatılmış MATA 4. nesil olan MataDoor’u getirmek için tasarlandı.
Saldırılar ayrıca, panodan içerik yakalamak, tuş vuruşlarını kaydetmek, ekran görüntüleri almak ve Windows Kimlik Bilgisi Yöneticisi ve Internet Explorer’dan şifreleri ve çerezleri sifonlamak için hırsız kötü amaçlı yazılımların kullanılmasıyla da karakterize edilir.
Dikkate değer bir diğer araç ise virüs bulaşmış sisteme çıkarılabilir medya aracılığıyla komutların gönderilmesine olanak tanıyan ve muhtemelen tehdit aktörlerinin hava boşluklu ağlara sızmasına olanak tanıyan bir USB yayılım modülüdür. Ayrıca kullanılan bir istismardır Geri AramaCehennem ayrıcalıkları yükseltmek ve uç nokta güvenlik ürünlerini atlayarak dikkat çekmeden hedeflerine ulaşmak.
Kaspersky ayrıca MATA nesil 5 veya MATAv5 olarak adlandırılan, “tamamen sıfırdan yeniden yazılan” ve “yüklenebilir ve yerleşik modüller ile eklentilerden yararlanan gelişmiş ve karmaşık bir mimari sergileyen” yeni bir MATA varyantı keşfettiğini söyledi.
“Kötü amaçlı yazılım, işlemler arası iletişimden yararlanır (IPC) dahili olarak kanalize ediyor ve çok çeşitli komutları kullanıyor, bu da kurbanın ortamında da dahil olmak üzere çeşitli protokoller arasında proxy zincirleri kurmasına olanak tanıyor.” diye ekledi.
Toplamda, MATA çerçevesi ve onun eklenti kokteyli, bilgi toplama, olay izleme, süreç yönetimi, dosya yönetimi, ağ keşfi ve proxy işlevselliği ile ilgili 100’den fazla komutun desteğini içerir.
Kaspersky, “Aktör, kurbanın ortamında kullanılan güvenlik çözümlerinde gezinme ve bunlardan yararlanma konusunda yüksek yetenek sergiledi” dedi.
“Saldırganlar etkinliklerini gizlemek için pek çok teknik kullandı: rootkit’ler ve savunmasız sürücüler, dosyaları meşru uygulamalar gibi gizleme, uygulamalar arasındaki iletişim için açık bağlantı noktalarını kullanma, dosyaların çok düzeyli şifrelenmesi ve kötü amaçlı yazılımların ağ etkinliği, [and] sunucuları kontrol etmek için yapılan bağlantılar arasında uzun bekleme süreleri ayarlanıyor.”