Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El sofisticado marco MATA afecta a las empresas de petróleo y gas de Europa del Este
  • Tecnología

El sofisticado marco MATA afecta a las empresas de petróleo y gas de Europa del Este

teknomers 19 de Ekim de 2023 (Last updated: 19 de Ekim de 2023) 5 minutes read
El sofisticado marco MATA afecta a las empresas de petróleo


Una versión actualizada de un sofisticado marco de puerta trasera llamado MATA se ha utilizado en ataques dirigidos a más de una docena de empresas de Europa del Este en el sector del petróleo y el gas y la industria de defensa como parte de una operación de ciberespionaje que tuvo lugar entre agosto de 2022 y mayo de 2023.

“Los actores detrás del ataque utilizaron correos electrónicos de phishing dirigidos a varias víctimas, algunas fueron infectadas con malware ejecutable de Windows al descargar archivos a través de un navegador de Internet”, Kaspersky dicho en un nuevo informe exhaustivo publicado esta semana.

“Cada documento de phishing contiene un enlace externo para buscar una página remota que contiene un CVE-2021-26411 explotar.”

CVE-2021-26411 (puntuación CVSS: 8,8) hace referencia a una vulnerabilidad de corrupción de memoria en Internet Explorer que podría activarse para ejecutar código arbitrario engañando a una víctima para que visite un sitio especialmente diseñado. Anteriormente, Lazarus Group lo explotó a principios de 2021 para apuntar a investigadores de seguridad.

El marco multiplataforma MATA fue documentado por primera vez por la empresa rusa de ciberseguridad en julio de 2020, vinculándolo con el prolífico equipo patrocinado por el estado de Corea del Norte en ataques dirigidos a diversos sectores en Polonia, Alemania, Turquía, Corea, Japón e India desde abril de 2018. .

Kaspersky reveló previamente el uso de una versión renovada de MATA para atacar a contratistas de defensa en julio de 2023, aunque la atribución al Grupo Lazarus sigue siendo, en el mejor de los casos, tenue debido a la presencia de técnicas utilizadas por actores de Five Eyes APT como Purple Lambert, Magenta Lambert. y Lambert Verde.

La seguridad cibernética

Dicho esto, la mayoría de los documentos maliciosos de Microsoft Word creados por los atacantes presentan una fuente coreana llamada Malgun Gothic, lo que sugiere que el desarrollador está familiarizado con el coreano o trabaja en un entorno coreano.

La empresa rusa de ciberseguridad Positive Technologies, que compartió detalles del mismo marco a finales del mes pasado, está rastreando a los operadores bajo el nombre de Dark River.

“La principal herramienta del grupo, la puerta trasera MataDoor, tiene una arquitectura modular, con un sistema de transporte de red complejo y minuciosamente diseñado y opciones flexibles para la comunicación entre el operador de la puerta trasera y una máquina infectada”, afirman los investigadores de seguridad Denis Kuvshinov y Maxim Andreev. dicho.

“El análisis del código sugiere que los desarrolladores invirtieron considerables recursos en la herramienta”.

Las últimas cadenas de ataques comienzan cuando el actor envía documentos de phishing a los objetivos, en algunos casos haciéndose pasar por empleados legítimos, lo que indica un reconocimiento previo y una preparación exhaustiva. Estos documentos incluyen un enlace a una página HTML que incorpora un exploit para CVE-2021-26411.

Un compromiso exitoso conduce a la ejecución de un cargador que, a su vez, recupera un módulo Validador de un servidor remoto para enviar información del sistema y descargar y cargar archivos hacia y desde el servidor de comando y control (C2).

El Validator también está diseñado para recuperar MataDoor, que, según Kasperksy, es MATA generación 4 que está equipado para ejecutar una amplia gama de comandos capaces de recopilar información confidencial de sistemas comprometidos.

Los ataques se caracterizan además por el uso de malware ladrón para capturar contenido del portapapeles, registrar pulsaciones de teclas, tomar capturas de pantalla y desviar contraseñas y cookies del Administrador de credenciales de Windows e Internet Explorer.

Otra herramienta digna de mención es un módulo de propagación USB que permite enviar comandos al sistema infectado a través de medios extraíbles, lo que probablemente permita a los actores de amenazas infiltrarse en redes aisladas. También se emplea un exploit llamado Devolución de llamadaInfierno para elevar privilegios y eludir los productos de seguridad de endpoints para lograr sus objetivos sin llamar la atención.

La seguridad cibernética

Kaspersky dijo que también descubrió una nueva variante de MATA, denominada MATA generación 5 o MATAv5, que está “completamente reescrita desde cero” y “exhibe una arquitectura avanzada y compleja que utiliza módulos y complementos cargables e integrados”.

“El malware aprovecha la comunicación entre procesos (IPC) canaliza internamente y emplea una amplia gama de comandos, lo que le permite establecer cadenas de proxy a través de varios protocolos, también dentro del entorno de la víctima”, añadió la empresa.

En total, el marco MATA y su cóctel de complementos incorporan soporte para más de 100 comandos relacionados con la recopilación de información, monitoreo de eventos, gestión de procesos, gestión de archivos, reconocimiento de red y funcionalidad de proxy.

“El actor demostró altas capacidades para navegar y aprovechar las soluciones de seguridad implementadas en el entorno de la víctima”, dijo Kaspersky.

“Los atacantes utilizaron muchas técnicas para ocultar su actividad: rootkits y controladores vulnerables, disfrazando archivos como aplicaciones legítimas, utilizando puertos abiertos para la comunicación entre aplicaciones, cifrado multinivel de archivos y actividad de red de malware, [and] estableciendo largos tiempos de espera entre conexiones para controlar servidores.”

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los precios de los bonos venezolanos se disparan después de que EE.UU. levanta la prohibición comercial
Next: La ayuda al desarrollo no es un tabú para que Open Vld presione a los países de origen

Related Stories

Steam supera los 200 millones de jugadores, muy por delante
  • Tecnología

Steam supera los 200 millones de jugadores, muy por delante de PlayStation

teknomers 8 de Temmuz de 2026
Beatbot AquaSense 2, Pro, Ultra: los robots de piscina IA
  • Tecnología

Beatbot AquaSense 2, Pro, Ultra: los robots de piscina IA en oferta

teknomers 8 de Temmuz de 2026
Rowenta X-Pert 6.60 a la venta a -38%: un aspirador
  • Tecnología

Rowenta X-Pert 6.60 a la venta a -38%: un aspirador escoba coherente y razonable para un pequeño hogar

teknomers 8 de Temmuz de 2026

You May Have Missed

Mundial 2026: el precio de los boletos cae tras la
  • Deporte

Mundial 2026: el precio de los boletos cae tras la eliminación de Portugal y Estados Unidos

teknomers 8 de Temmuz de 2026
  • General

Tiger Woods: Frase del día de Tiger Woods: ‘No tiene sentido ir a un torneo si…’ Lecciones de vida sobre la autoconfianza, el compromiso, la confianza inquebrantable, el crecimiento profesional, la convicción firme y la motivación auténtica.

teknomers 8 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Arthur Fery desafía las probabilidades y alcanza una sorprendente semifinal

teknomers 8 de Temmuz de 2026
Steam supera los 200 millones de jugadores, muy por delante
  • Tecnología

Steam supera los 200 millones de jugadores, muy por delante de PlayStation

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.