Une version mise à jour d’un framework de porte dérobée sophistiqué appelé MATA a été utilisé dans des attaques visant plus d’une douzaine d’entreprises d’Europe de l’Est du secteur pétrolier, gazier et de l’industrie de la défense dans le cadre d’une opération de cyberespionnage qui a eu lieu entre août 2022 et mai 2023.
« Les auteurs de l’attaque ont utilisé des courriers de spear phishing pour cibler plusieurs victimes, certaines ont été infectées par un malware exécutable Windows en téléchargeant des fichiers via un navigateur Internet », Kaspersky dit dans un nouveau rapport exhaustif publié cette semaine.
« Chaque document de phishing contient un lien externe pour récupérer une page distante contenant un CVE-2021-26411 exploiter. »
CVE-2021-26411 (score CVSS : 8,8) fait référence à une vulnérabilité de corruption de mémoire dans Internet Explorer qui pourrait être déclenchée pour exécuter du code arbitraire en incitant une victime à visiter un site spécialement conçu. Il avait déjà été exploité par le groupe Lazarus début 2021 pour cibler des chercheurs en sécurité.
Le cadre multiplateforme MATA a été documenté pour la première fois par la société russe de cybersécurité en juillet 2020, le liant à l’équipe prolifique parrainée par l’État nord-coréen dans les attaques ciblant divers secteurs en Pologne, en Allemagne, en Turquie, en Corée, au Japon et en Inde depuis avril 2018. .
L’utilisation d’une version remaniée de MATA pour frapper les sous-traitants de la défense avait déjà été révélée par Kaspersky en juillet 2023, bien que l’attribution au groupe Lazarus reste au mieux ténue en raison de la présence de techniques utilisées par les acteurs Five Eyes APT tels que Purple Lambert, Magenta Lambert. , et Vert Lambert.
Cela dit, la majorité des documents Microsoft Word malveillants créés par les attaquants comportent une police coréenne appelée Malgun Gothic, ce qui suggère que le développeur est familier avec le coréen ou travaille dans un environnement coréen.
La société russe de cybersécurité Positive Technologies, qui a partagé les détails du même cadre à la fin du mois dernier, suit les opérateurs sous le surnom de Dark River.
« L’outil principal du groupe, la porte dérobée MataDoor, possède une architecture modulaire, avec un système de transport réseau complexe et minutieusement conçu et des options flexibles de communication entre l’opérateur de la porte dérobée et une machine infectée », ont déclaré les chercheurs en sécurité Denis Kuvshinov et Maxim Andreev. dit.
« L’analyse du code suggère que les développeurs ont investi des ressources considérables dans l’outil. »
Les dernières chaînes d’attaque commencent par l’envoi par l’acteur de documents de spear phishing à des cibles, dans certains cas en se faisant passer pour des employés légitimes, ce qui indique une reconnaissance préalable et une préparation approfondie. Ces documents incluent un lien vers une page HTML qui intègre un exploit pour CVE-2021-26411.
Un compromis réussi conduit à l’exécution d’un chargeur qui, à son tour, récupère un module Validator d’un serveur distant pour envoyer des informations système et télécharger des fichiers vers et depuis le serveur de commande et de contrôle (C2).
Le Validator est également conçu pour récupérer MataDoor, qui, selon Kasperksy, est MATA génération 4, équipé pour exécuter un large éventail de commandes capables de collecter des informations sensibles à partir de systèmes compromis.
Les attaques se caractérisent en outre par l’utilisation de logiciels malveillants voleurs pour capturer le contenu du presse-papiers, enregistrer les frappes au clavier, prendre des captures d’écran et siphonner les mots de passe et les cookies de Windows Credential Manager et d’Internet Explorer.
Un autre outil remarquable est un module de propagation USB qui permet d’envoyer des commandes au système infecté via un support amovible, permettant probablement aux acteurs malveillants d’infiltrer des réseaux isolés. Un exploit appelé RappelEnfer pour élever les privilèges et contourner les produits de sécurité des points finaux afin d’atteindre leurs objectifs sans attirer l’attention.
Kaspersky a déclaré avoir également découvert une nouvelle variante de MATA, baptisée MATA génération 5 ou MATAv5, qui est « entièrement réécrite à partir de zéro » et « présente une architecture avancée et complexe utilisant des modules et plugins chargeables et intégrés ».
« Le malware exploite la communication inter-processus (CIB) en interne et utilise un large éventail de commandes, ce qui lui permet d’établir des chaînes proxy sur différents protocoles – également dans l’environnement de la victime », a ajouté la société.
Au total, le framework MATA et son cocktail de plugins intègrent la prise en charge de plus de 100 commandes relatives à la collecte d’informations, à la surveillance des événements, à la gestion des processus, à la gestion des fichiers, à la reconnaissance du réseau et aux fonctionnalités de proxy.
« L’acteur a démontré de grandes capacités à naviguer et à exploiter les solutions de sécurité déployées dans l’environnement de la victime », a déclaré Kaspersky.
« Les attaquants ont utilisé de nombreuses techniques pour cacher leur activité : rootkits et pilotes vulnérables, déguisant les fichiers en applications légitimes, utilisant des ports ouverts pour la communication entre les applications, le cryptage à plusieurs niveaux des fichiers et l’activité réseau des logiciels malveillants, [and] définir de longs temps d’attente entre les connexions pour contrôler les serveurs.