Киберпреступники атакуют ОС с помощью нового вредоносного ПО MATA

Киберпреступники атакуют ОС с помощью нового вредоносного ПО MATA

Жертвами MATA оказались представители разных отраслей по всему миру.

Специалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру.

Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии.

Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий нечто вроде «командного центра» (оркестратора), а он в свою очередь скачивает необходимые модули.

В зависимости от атаки модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2. Плагины MATA способны запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.

Позже эксперты обнаружили аналогичный набор инструментов для Linux и macOS, в котором присутствовала легитимная утилита для командной строки Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.

Как полагают специалисты, MATA связана с киберпреступной группировкой Lazarus. Оркестратор MATA использует два уникальных имени файла, c_2910.cls и k_3872.cls, ранее замеченные только в нескольких вариантах вредоноса Manuscrypt, который группировка Lazarus использовала в ряде кибератак. Кроме того, MATA использует глобальные данные конфигурации, включая случайно сгенерированный идентификатор сеанса, информацию о версии на основе даты, интервал ожидания и несколько адресов C&C-серверов. Один из вариантов Manuscrypt имеет похожую структуру конфигурации с инфраструктурой MATA.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение