Gelişmiş MATA Çerçevesi Doğu Avrupalı ​​Petrol ve Gaz Şirketlerini Etkiliyor - Dünyadan Güncel Teknoloji Haberleri

Gelişmiş MATA Çerçevesi Doğu Avrupalı ​​Petrol ve Gaz Şirketlerini Etkiliyor - Dünyadan Güncel Teknoloji Haberleri

Kaspersky, “Saldırının arkasındaki aktörler, hedef odaklı kimlik avı e-postaları kullanarak birçok kurbanı hedef aldı; bazı kurbanlara, dosyaları bir internet tarayıcısı aracılığıyla indirerek Windows’un yürütülebilir kötü amaçlı yazılımları bulaştı

“Saldırganlar etkinliklerini gizlemek için pek çok teknik kullandı: rootkit’ler ve savunmasız sürücüler, dosyaları meşru uygulamalar gibi gizleme, uygulamalar arasındaki iletişim için açık bağlantı noktalarını kullanma, dosyaların çok düzeyli şifrelenmesi ve kötü amaçlı yazılımların ağ etkinliği, [and] sunucuları kontrol etmek için yapılan bağlantılar arasında uzun bekleme süreleri ayarlanıyor

Toplamda, MATA çerçevesi ve onun eklenti kokteyli, bilgi toplama, olay izleme, süreç yönetimi, dosya yönetimi, ağ keşfi ve proxy işlevselliği ile ilgili 100’den fazla komutun desteğini içerir

Saldırılar ayrıca, panodan içerik yakalamak, tuş vuruşlarını kaydetmek, ekran görüntüleri almak ve Windows Kimlik Bilgisi Yöneticisi ve Internet Explorer’dan şifreleri ve çerezleri sifonlamak için hırsız kötü amaçlı yazılımların kullanılmasıyla da karakterize edilir ”



siber-2

Bu belgeler, CVE-2021-26411’e yönelik bir istismarın yer aldığı HTML sayfasına bir bağlantı içerir

Doğrulayıcı ayrıca, Kasperksy’ye göre, güvenliği ihlal edilmiş sistemlerden hassas bilgiler toplayabilen çok çeşitli komutları çalıştıracak şekilde donatılmış MATA 4

“Her kimlik avı belgesi, bir uzak sayfayı getirmek için harici bir bağlantı içerir

Dikkate değer bir diğer araç ise virüs bulaşmış sisteme çıkarılabilir medya aracılığıyla komutların gönderilmesine olanak tanıyan ve muhtemelen tehdit aktörlerinin hava boşluklu ağlara sızmasına olanak tanıyan bir USB yayılım modülüdür ve Yeşil Lambert

Bununla birlikte, saldırganlar tarafından oluşturulan kötü amaçlı Microsoft Word belgelerinin çoğunda Malgun Gotik adı verilen Korece bir yazı tipi bulunuyor ve bu da geliştiricinin ya Korece’ye aşina olduğunu ya da Kore ortamında çalıştığını gösteriyor

“Kod analizi, geliştiricilerin araca önemli miktarda kaynak yatırdığını gösteriyor Daha önce 2021’in başlarında Lazarus Group tarafından güvenlik araştırmacılarını hedef almak için istismar edilmişti Ayrıca kullanılan bir istismardır Geri AramaCehennem ayrıcalıkları yükseltmek ve uç nokta güvenlik ürünlerini atlayarak dikkat çekmeden hedeflerine ulaşmak

Güvenlik araştırmacıları Denis Kuvshinov ve Maxim Andreev, “Grubun ana aracı olan MataDoor arka kapısı, karmaşık, kapsamlı bir şekilde tasarlanmış ağ taşıma sistemi ve arka kapı operatörü ile virüs bulaşmış bir makine arasındaki iletişim için esnek seçenekler içeren modüler bir mimariye sahiptir

“Kötü amaçlı yazılım, işlemler arası iletişimden yararlanır (IPC) dahili olarak kanalize ediyor ve çok çeşitli komutları kullanıyor, bu da kurbanın ortamında da dahil olmak üzere çeşitli protokoller arasında proxy zincirleri kurmasına olanak tanıyor ” diye ekledi nesil olan MataDoor’u getirmek için tasarlandı

Kaspersky, “Aktör, kurbanın ortamında kullanılan güvenlik çözümlerinde gezinme ve bunlardan yararlanma konusunda yüksek yetenek sergiledi” dedi CVE-2021-26411 faydalanmak ” söz konusu Bu hafta yayınlanan yeni kapsamlı bir raporda

Platformlar arası MATA çerçevesi ilk olarak Rus siber güvenlik şirketi tarafından Temmuz 2020’de belgelendi ve bu çerçeve, Nisan 2018’den bu yana Polonya, Almanya, Türkiye, Kore, Japonya ve Hindistan’daki çeşitli sektörleri hedef alan saldırılarda Kuzey Kore devleti destekli üretken ekiple ilişkilendirildi

Başarılı bir uzlaşma, sistem bilgilerini göndermek ve komut ve kontrol (C2) sunucusuna dosya indirmek ve yüklemek için uzak sunucudan bir Doğrulayıcı modülünü alan bir yükleyicinin yürütülmesine yol açar


Gelişmiş bir arka kapı çerçevesinin güncellenmiş bir versiyonu MATA Ağustos 2022 ile Mayıs 2023 arasında gerçekleştirilen siber casusluk operasyonunun bir parçası olarak petrol ve gaz sektörü ile savunma sanayinde faaliyet gösteren bir düzineden fazla Doğu Avrupalı ​​şirkete yönelik saldırılarda kullanıldı ” söz konusu

Savunma yüklenicilerine saldırmak için MATA’nın yenilenmiş bir versiyonunun kullanıldığı daha önce Temmuz 2023’te Kaspersky tarafından açıklanmıştı, ancak Lazarus Grubuna yapılan atıf, Purple Lambert, Magenta Lambert gibi Five Eyes APT aktörleri tarafından kullanılan tekniklerin varlığı nedeniyle en iyi ihtimalle zayıf kalıyor ”

CVE-2021-26411 (CVSS puanı: 8,8), Internet Explorer’da bir kurbanı özel hazırlanmış bir siteyi ziyaret etmeye kandırarak rastgele kod yürütmek üzere tetiklenebilecek bir bellek bozulması güvenlik açığını ifade eder

Geçen ayın sonlarında aynı çerçevenin ayrıntılarını paylaşan Rus siber güvenlik şirketi Positive Technologies, Dark River adı altındaki operatörleri takip ediyor ”

En son saldırı zincirleri, aktörün hedeflere hedef odaklı kimlik avı belgeleri göndermesiyle başlar; bazı durumlarda meşru çalışanların kimliğine bürünerek önceden keşif ve kapsamlı hazırlık yapıldığını gösterir

Kaspersky ayrıca MATA nesil 5 veya MATAv5 olarak adlandırılan, “tamamen sıfırdan yeniden yazılan” ve “yüklenebilir ve yerleşik modüller ile eklentilerden yararlanan gelişmiş ve karmaşık bir mimari sergileyen” yeni bir MATA varyantı keşfettiğini söyledi