Una versión actualizada de un sofisticado marco de puerta trasera llamado MATA se ha utilizado en ataques dirigidos a más de una docena de empresas de Europa del Este en el sector del petróleo y el gas y la industria de defensa como parte de una operación de ciberespionaje que tuvo lugar entre agosto de 2022 y mayo de 2023.
«Los actores detrás del ataque utilizaron correos electrónicos de phishing dirigidos a varias víctimas, algunas fueron infectadas con malware ejecutable de Windows al descargar archivos a través de un navegador de Internet», Kaspersky dicho en un nuevo informe exhaustivo publicado esta semana.
«Cada documento de phishing contiene un enlace externo para buscar una página remota que contiene un CVE-2021-26411 explotar.»
CVE-2021-26411 (puntuación CVSS: 8,8) hace referencia a una vulnerabilidad de corrupción de memoria en Internet Explorer que podría activarse para ejecutar código arbitrario engañando a una víctima para que visite un sitio especialmente diseñado. Anteriormente, Lazarus Group lo explotó a principios de 2021 para apuntar a investigadores de seguridad.
El marco multiplataforma MATA fue documentado por primera vez por la empresa rusa de ciberseguridad en julio de 2020, vinculándolo con el prolífico equipo patrocinado por el estado de Corea del Norte en ataques dirigidos a diversos sectores en Polonia, Alemania, Turquía, Corea, Japón e India desde abril de 2018. .
Kaspersky reveló previamente el uso de una versión renovada de MATA para atacar a contratistas de defensa en julio de 2023, aunque la atribución al Grupo Lazarus sigue siendo, en el mejor de los casos, tenue debido a la presencia de técnicas utilizadas por actores de Five Eyes APT como Purple Lambert, Magenta Lambert. y Lambert Verde.
Dicho esto, la mayoría de los documentos maliciosos de Microsoft Word creados por los atacantes presentan una fuente coreana llamada Malgun Gothic, lo que sugiere que el desarrollador está familiarizado con el coreano o trabaja en un entorno coreano.
La empresa rusa de ciberseguridad Positive Technologies, que compartió detalles del mismo marco a finales del mes pasado, está rastreando a los operadores bajo el nombre de Dark River.
«La principal herramienta del grupo, la puerta trasera MataDoor, tiene una arquitectura modular, con un sistema de transporte de red complejo y minuciosamente diseñado y opciones flexibles para la comunicación entre el operador de la puerta trasera y una máquina infectada», afirman los investigadores de seguridad Denis Kuvshinov y Maxim Andreev. dicho.
«El análisis del código sugiere que los desarrolladores invirtieron considerables recursos en la herramienta».
Las últimas cadenas de ataques comienzan cuando el actor envía documentos de phishing a los objetivos, en algunos casos haciéndose pasar por empleados legítimos, lo que indica un reconocimiento previo y una preparación exhaustiva. Estos documentos incluyen un enlace a una página HTML que incorpora un exploit para CVE-2021-26411.
Un compromiso exitoso conduce a la ejecución de un cargador que, a su vez, recupera un módulo Validador de un servidor remoto para enviar información del sistema y descargar y cargar archivos hacia y desde el servidor de comando y control (C2).
El Validator también está diseñado para recuperar MataDoor, que, según Kasperksy, es MATA generación 4 que está equipado para ejecutar una amplia gama de comandos capaces de recopilar información confidencial de sistemas comprometidos.
Los ataques se caracterizan además por el uso de malware ladrón para capturar contenido del portapapeles, registrar pulsaciones de teclas, tomar capturas de pantalla y desviar contraseñas y cookies del Administrador de credenciales de Windows e Internet Explorer.
Otra herramienta digna de mención es un módulo de propagación USB que permite enviar comandos al sistema infectado a través de medios extraíbles, lo que probablemente permita a los actores de amenazas infiltrarse en redes aisladas. También se emplea un exploit llamado Devolución de llamadaInfierno para elevar privilegios y eludir los productos de seguridad de endpoints para lograr sus objetivos sin llamar la atención.
Kaspersky dijo que también descubrió una nueva variante de MATA, denominada MATA generación 5 o MATAv5, que está «completamente reescrita desde cero» y «exhibe una arquitectura avanzada y compleja que utiliza módulos y complementos cargables e integrados».
«El malware aprovecha la comunicación entre procesos (IPC) canaliza internamente y emplea una amplia gama de comandos, lo que le permite establecer cadenas de proxy a través de varios protocolos, también dentro del entorno de la víctima», añadió la empresa.
En total, el marco MATA y su cóctel de complementos incorporan soporte para más de 100 comandos relacionados con la recopilación de información, monitoreo de eventos, gestión de procesos, gestión de archivos, reconocimiento de red y funcionalidad de proxy.
«El actor demostró altas capacidades para navegar y aprovechar las soluciones de seguridad implementadas en el entorno de la víctima», dijo Kaspersky.
«Los atacantes utilizaron muchas técnicas para ocultar su actividad: rootkits y controladores vulnerables, disfrazando archivos como aplicaciones legítimas, utilizando puertos abiertos para la comunicación entre aplicaciones, cifrado multinivel de archivos y actividad de red de malware, [and] estableciendo largos tiempos de espera entre conexiones para controlar servidores.»