Kiberkémkedési kampányok MATA eszközkészlettel
A Kaspersky Global Research and Analysis Team (GReAT) és Industrial Control Systems Cyber Emergency Response Team (ICS CERT) jelentős eredményeket mutatott be a kelet-európai ipari vállalatokat célzó kiberkémtevékenység terén a frissített MATA eszközkészlet használatával. A hónapokig tartó nyomozás kifinomult támadási technikákat, frissített rosszindulatú programokat és egy új fertőzési láncot tárt fel.
2022. szeptember elején a korábban a Lazarus csoporthoz kapcsolódó MATA-fürthöz kapcsolódó új kártevő-mintákat azonosítottak. Ez a több mint tucat kelet-európai vállalatot megcélzó kampány 2022. augusztus közepétől 2023 májusáig tartott. A támadók a CVE-2021-26411 exploit felhasználásával lándzsás adathalász e-maileket használtak, és webböngészőkön keresztül Windows futtatható kártevőket töltöttek le.
A MATA fertőzési lánc bonyolult volt, integrálva a betöltőt, a fő trójaiakat és a lopókat, exploitokkal, rootkitekkel és pontos áldozatérvényesítési folyamatokkal. Egy kulcsfontosságú felfedezés a Command and Control (C&C) szerverként használt belső IP-címekre vonatkozik, jelezve, hogy a támadók saját vezérlő- és kiszűrési rendszerüket telepítették az áldozatok infrastruktúrájában. A Kaspersky azonnal értesítette az érintett szervezeteket, ami gyors reagáláshoz vezetett.
A támadás egy gyárból indult adathalász e-maillel, behatolt a hálózatba, és feltörte a vállalat tartományvezérlőjét. Sebezhetőségeket és rootkiteket használtak a biztonsági rendszerek megzavarására, átvették az irányítást a munkaállomások és szerverek felett. Hozzáfértek a biztonsági megoldások paneleihez, kihasználva a sebezhetőségeket és a gyenge konfigurációkat, hogy információkat gyűjtsenek, és rosszindulatú programokat terjeszthessenek a vállalati tartományi infrastruktúrához nem kapcsolódó leányvállalatok és rendszerek számára.