正文

MATA 恶意软件框架利用 EDR 攻击东欧石油天然气公司及国防工业——安全软件被黑客接管导致严重后果

admin
admin V管理员 /0 评论 /160 阅读
1020
此篇文章发布距今已超过400天,您需要注意文章的内容或图片是否可用!


导 



MATA 后门框架的更新版本在 2022 年 8 月至 2023 年 5 月期间针对东欧石油和天然气公司以及国防工业的攻击中被发现。


这些攻击利用鱼叉式网络钓鱼电子邮件诱骗目标下载恶意可执行文件,这些可执行文件利用 Internet Explorer 中的 CVE-2021-26411 启动感染链。


更新后的 MATA 框架结合了一个加载程序、一个主要木马和一个信息窃取程序,可以在目标网络中建立后门并获得持久性。


这些攻击中的 MATA 版本与Lazarus 黑客组织相关的先前版本类似,但具有更新的功能。


值得注意的是,攻击者通过破坏目标网络安全及合规性解决方案并利用其缺陷,可以将恶意软件传播到企业网络的各个角落。


在攻击中滥用 EDR


该网络安全公司在检查了两个与被破坏组织网络内的命令和控制服务器 (C2) 通信的 MATA 样本后,于 2022 年 9 月发现了该活动。


进一步分析显示,被入侵的系统是连接到目标组织众多子公司的财务软件服务器。


调查显示,黑客的立足点已从生产工厂的单个域控制器扩展到整个公司网络。

攻击继续进行,黑客访问了两个安全解决方案管理面板,一个用于端点保护(EDR),一个用于合规性检查。


黑客滥用安全软件管理面板的访问权限来对组织的网络基础设施进行监视并向其子公司传播恶意软件。

MATA攻击链 (卡巴斯基


更新了 MATA 恶意软件


在目标是 Linux 服务器的情况下,攻击者采用 ELF 文件形式的 MATA Linux 变体,其功能似乎与第三代 Windows 植入程序类似。


卡巴斯基表示,它对 MATA 恶意软件的三个新版本进行了采样:一个 (v3) 从过去攻击中出现的第二代演变而来,第二个 (v4) 被称为“MataDoor”,第三个 (v5) 是从头开始编写的。


最新版本的 MATA 采用 DLL 形式,具有广泛的远程控制功能,支持与控制服务器的多协议(TCP、SSL、PSSL、PDTLS)连接,并支持代理(SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM) 服务器链。


MATA 第五代支持的 23 条命令包括设置连接、执行植入管理和检索信息的操作。


vanilla MATA 支持的最重要的命令如下:

  • 0x003:使用特定命令集连接到C2服务器。

  • 0x001:启动一个新的客户端会话,管理来自     Buffer-box 的各种命令。

  • 0x006:安排具有特定延迟和排队命令的重新连接。

  • 0x007:返回详细的系统和恶意软件信息、加密密钥、插件路径等。

  • 0x00d:配置重要设置,例如     VictimID 和连接参数。

  • 0x020:启动与C2服务器的连接并转发流量。

  • 0x022:探测与给定 C2     服务器和代理列表的活动连接。


恶意软件加载的附加插件允许其启动另外 75 个与信息收集、进程管理、文件管理、网络侦察、代理功能和远程 shell 执行相关的命令。

记录的活动时间 (GMT) (卡巴斯基)


其他有趣的发现包括一个新的恶意软件模块,该模块可以利用 USB 等可移动存储介质来感染隔离网络系统,各种能够捕获凭据、cookie、屏幕截图和剪贴板内容的窃取程序,以及 EDR/安全旁路工具。


研究人员报告称,黑客使用公开可用的 CVE-2021-40449 漏洞绕过了 EDR 和安全工具,该漏洞被称为“ CallbackHell ”。


利用此工具,攻击者可以更改内核内存并针对特定的回调例程,从而使端点安全工具失效。


如果该绕过方法失败,他们会改用 之前记录的自带易受攻击的驱动程序 (BYOVD) 技术。

攻击者针对的防病毒软件 (卡巴斯基)


归属不明


尽管卡巴斯基此前将MATA 与黑客组织 Lazarus 联系起来,但这家网络安全公司以目前的证据很难将最近观察到的活动与该APT组织关联起来。


尽管与 Lazarus 活动仍然存在明显的联系,但较新的 MATA 变体和技术(例如 TTLV 序列化、多层协议和握手机制)更类似于“Five Eyes(五眼)”APT 组织。


此外,在一次攻击中部署多个恶意软件框架和 MATA 框架版本的情况非常罕见,这表明该APT组织资源特别充足。


有关 MATA 恶意软件以及最新攻击中使用的技术的更多技术信息,请在此处查看卡巴斯基的完整报告(https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2023/10/18092216/Updated-MATA-attacks-Eastern-Europe_full-report_ENG.pdf)。


参考链接:https://www.bleepingcomputer.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/

今日安全资讯速递




APT事件

Advanced Persistent Threat

微软称,Lazarus 和 Andariel 黑客组织利用 TeamCity 的关键漏洞破坏网络

https://therecord.media/teamcity-vulnerability-targeted-by-nk-hackers


与伊朗有关的 OilRig 在为期 8 个月的网络攻击中瞄准中东多国政府

https://thehackernews.com/2023/10/iran-linked-oilrig-targets-middle-east.html


MATA 恶意软件框架利用 EDR 攻击东欧石油天然气公司及国防工业

https://www.bleepingcomputer.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/




一般威胁事件

General Threat Incidents

一名摩尔多瓦人被指控运营网络犯罪市场(E-Root),将在美国面临指控

https://therecord.media/moldovan-accused-of-running-cybercrime-marketplace-e-root-extradited


美国政府查获朝鲜黑客组织在欺诈计划中使用的 17 个域名

https://therecord.media/doj-seizure-web-domains-north-korean-tech-worker-scheme


Ragnar Locker 勒索软件网站被联邦调查局 (FBI) 和欧洲刑警组织 (Europol) 摧毁

https://therecord.media/ragnar-locker-ransomware-site-taken-down-fbi-europol


BlackCat 勒索软件使用新的“Munchkin”Linux 虚拟机进行秘密攻击

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/


乌克兰黑客活动分子攻击 Trigona 勒索软件团伙并清除服务器

https://www.bleepingcomputer.com/news/security/ukrainian-activists-hack-trigona-ransomware-gang-wipe-servers/


美国医疗保健解决方案巨头 Henry Schein 因网络攻击中断服务

https://www.securityweek.com/operations-of-healthcare-solutions-giant-henry-schein-disrupted-by-cyberattack/


CISA、HC3 就新的勒索软件和 DDoS 漏洞发出警告

https://www.healthcareitnews.com/news/roundup-cisa-hc3-warn-about-new-ransomware-and-ddos-exploits


假冒 KeePass 网站使用 Google Ads 和 Punycode 推送恶意软件

https://www.bleepingcomputer.com/news/security/fake-keepass-site-uses-google-ads-and-punycode-to-push-malware/


黑客组织 GhostSec 推出新一代勒索软件植入程序

https://www.infosecurity-magazine.com/news/hacker-ghostsec-unveils-new/


卡西欧披露数据泄露影响了 149 个国家的客户

https://www.bleepingcomputer.com/news/security/casio-discloses-data-breach-impacting-customers-in-149-countries/


日产汽车追踪驾驶员的私密生活

https://cybernews.com/news/nissan-cars-privacy-not-included/




漏洞事件

Vulnerability Incidents

因未修补漏洞(CVE-2023-20198)而遭到黑客攻击的思科设备数量增至 40,000 台

https://www.securityweek.com/number-of-cisco-devices-hacked-via-unpatched-vulnerability-increases-to-40000/

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com