Ağustos 2022 ile Mayıs 2023 arasındaki saldırılarda Mata Backdoor çerçevesinin güncellenmiş bir versiyonu, Doğu Avrupa'daki petrol ve gaz firmalarını ve savunma endüstrisini hedefleyen saldırılarda tespit edildi.
Saldırılar, enfeksiyon zincirini başlatmak için Internet Explorer'da CVE-2021-26411'i kullanan kötü niyetli yürütülebilir dosyaları indirmek için hedefleri kandırmak için mızrak aktı e-postaları kullandı.
Güncellenmiş Mata çerçevesi, bir yükleyici, bir ana Truva atı ve bir infostealer'ı arka kapı ve hedeflenen ağlarda kalıcılık kazanmak için birleştirir.
Bu saldırılardaki Mata versiyonu, Kuzey Kore Lazarus Hacking Grubu ile bağlantılı ancak güncellenmiş yeteneklerle bağlantılı önceki sürümlere benzer.
Özellikle, kötü amaçlı yazılımların kurumsal ağın tüm ulaşılabilir köşelerine yayılması, güvenlik uyumluluk çözümlerini ihlal ederek ve kusurlarını kullanarak gerçekleşir.
Siber güvenlik şirketi, ihlal edilen organizasyon ağları içindeki Komut ve Kontrol Sunucuları (C2) ile iletişim kuran iki Mata örneğini inceledikten sonra Eylül 2022'de etkinliği keşfetti.
Daha ileri analizler, ihlal sistemlerinin hedef kuruluşun çok sayıda bağlı ortaklığına bağlı finansal yazılım sunucuları olduğunu ortaya koymuştur.
Soruşturma, bilgisayar korsanlarının dayanaklarını bir üretim tesisindeki tek bir etki alanı denetleyicisinden tüm kurumsal ağa genişlettiğini ortaya koydu.
Saldırı, bilgisayar korsanlarının biri uç nokta koruması ve diğeri uyum kontrolleri için olmak üzere iki güvenlik çözümü yönetici paneline erişmesiyle devam etti.
Bilgisayar korsanları, kuruluşun altyapısında gözetim yapmak ve kötü amaçlı yazılımları iştiraklerine yaymak için güvenlik yazılımı yönetici paneline erişimi kötüye kullandı.
Hedeflerin Linux sunucuları olduğu geçerli durumlarda, saldırganlar, Windows implantının üçüncü nesline işlevsellik olarak benzer görünen bir ELF dosyası şeklinde bir Linux Mata varyantı kullandı.
Kaspersky, Mata kötü amaçlı yazılımın üç yeni versiyonunu örneklediğini söyledi: Bir (V3) geçmiş saldırılarda görülen ikinci nesilden, 'Matadoor' olarak adlandırılan ikinci (V4) ve sıfırdan yazılan üçüncü (V5).
Mata'nın en son sürümü DLL formunda gelir ve kapsamlı uzaktan kumanda özelliklerine sahiptir, kontrol sunucularına çoklu protokol (TCP, SSL, PSSL, PDTLS) bağlantılarını destekler ve proxy'yi (SOCKS4, SOCKS5, HTTP+Web, HTTP+NTLM ) Sunucu zincirleri.
Mata Beşinci Nesil tarafından desteklenen 23 komut, bağlantı kurmak, implantın yönetimini gerçekleştirmek ve bilgi almak için eylemler içerir.
Vanilya Mata tarafından desteklenen en önemli komutlar şunlardır:
Kötü amaçlı yazılım üzerine yüklenen ek eklentiler, bilgi toplama, süreç yönetimi, dosya yönetimi, ağ keşfi, vekil işlevselliği ve uzak kabuk yürütme ile ilgili 75 komut daha başlatmasını sağlar.
Diğer ilginç bulgular arasında, hava kapalı sistemleri enfekte etmek için USB gibi çıkarılabilir depolama ortamlarından yararlanabilen yeni bir kötü amaçlı yazılım modülü, kimlik bilgilerini, çerezleri, ekran görüntülerini ve pano içeriğini ve EDR/Güvenlik bypass araçlarını yakalayabilen çeşitli sığınaklar yer alıyor.
Araştırmacılar, bilgisayar korsanlarının EDR ve güvenlik araçlarını 'geri arama' olarak adlandırılan CVE-2021-40449 için halka açık bir istismar kullanarak atladığını bildiriyor.
Bu aracı kullanan saldırganlar, çekirdek belleğini değiştirir ve uç nokta güvenlik araçlarını etkisiz hale getiren özel geri arama rutinlerini hedefler.
Bu baypas yöntemi başarısız olursa, daha önce belgelenmiş kendi savunmasız sürücü (BYOVD) tekniklerinizi getirdiler.
Kaspersky daha önce Mata'yı Kuzey Kore devlet destekli hackleme grubu Lazarus ile ilişkilendirse de, siber güvenlik firması yakın zamanda gözlemlenen etkinliği yüksek güvenle ilişkilendirmekte sorun yaşıyor.
Lazarus aktivitesine hala belirgin bağlantılar olmasına rağmen, daha yeni Mata varyantları ve TTLV serileştirme, çok katmanlı protokoller ve el sıkışma mekanizmaları gibi teknikler, Purple, Magenta ve Green Lambert gibi 'beş göz' uygun gruplardan daha yakından benzemektedir.
Ayrıca, tek bir saldırıda birden fazla kötü amaçlı yazılım çerçevesi ve Mata çerçevesi sürümlerinin dağıtılması çok nadirdir, bu da özellikle iyi kaynaklanan bir tehdit oyuncusu gösterir.
Mata kötü amaçlı yazılım ve en son saldırılarda kullanılan teknikler hakkında daha fazla teknik bilgi için Kaspersky'nin tam raporuna buradan göz atın.
Kuzey Koreli hackerlar, ağları ihlal etmek için kritik TeamCity kusurundan yararlanıyor
Spynote Android kötü amaçlı yazılım, sahte volkan patlama uyarıları ile yayılır
Qubitstrike, kimlik bilgilerini çalmak için rootkit jupyter linux sunucularına saldırıyor
Discord hala kötü amaçlı yazılım aktivitesi - şimdi APT'ler eğlenceye katılıyor
İsrail için Sahte 'Redalert' Roket Uyarısı Uygulaması Android Spyware
Kaynak: Bleeping Computer