Sofistike MATA Çerçevesi Doğu Avrupa Petrol ve Gaz Şirketlerini Vuruyor
Ağustos 2022 ile Mayıs 2023 arasında bir siber casusluk operasyonunun parçası olarak petrol ve gaz sektörü ile savunma sanayisindeki bir çok Doğu Avrupa şirketini hedef alan saldırılarda MATA adlı gelişmiş bir arka kapı çerçevesinin güncellenmiş bir versiyonu kullanıldı.
Ağustos 2022 ile Mayıs 2023 arasında gerçekleşen bir siber casusluk operasyonunun parçası olarak petrol ve gaz sektörü ile savunma sanayisindeki bir düzineden fazla Doğu Avrupa şirketini hedef alan saldırılarda MATA adlı gelişmiş bir arka kapı çerçevesinin güncellenmiş bir versiyonu kullanıldı.
Kaspersky, bu hafta yayınlanan yeni ve kapsamlı bir raporda, "Saldırının arkasındaki aktörler, birkaç kurbanı hedef almak için hedef odaklı kimlik avı postaları kullandı, bazılarına bir internet tarayıcısı aracılığıyla dosya indirerek Windows yürütülebilir kötü amaçlı yazılım bulaştı" dedi.
"Her kimlik avı belgesi, CVE-2021-26411 istismarı içeren uzak bir sayfayı getirmek için harici bir bağlantı içerir."
CVE-2021-26411 (CVSS puanı: 8.8), bir kurbanı özel hazırlanmış bir siteyi ziyaret etmesi için kandırarak rastgele kod yürütmek üzere tetiklenebilen bir Internet Explorer bellek bozulması güvenlik açığını ifade eder. Daha önce 2021'in başlarında Lazarus Group tarafından güvenlik araştırmacılarını hedef almak için istismar edilmişti.
Platformlar arası MATA çerçevesi ilk olarak Temmuz 2020'de Rus siber güvenlik şirketi tarafından belgelendi ve Nisan 2018'den bu yana Polonya, Almanya, Türkiye, Kore, Japonya ve Hindistan'daki çeşitli sektörleri hedef alan saldırılarda Kuzey Kore devlet destekli üretken mürettebatla ilişkilendirildi.
Savunma müteahhitlerini vurmak için MATA'nın yenilenmiş bir versiyonunun kullanımı daha önce Kaspersky tarafından Temmuz 2023'te açıklanmıştı, ancak Purple Lambert, Magenta Lambert ve Green Lambert gibi Five Eyes APT aktörleri tarafından kullanılan tekniklerin varlığı nedeniyle Lazarus Group'a atıfta bulunulması en iyi ihtimalle belirsizliğini koruyor.
Bununla birlikte, saldırganlar tarafından oluşturulan kötü amaçlı Microsoft Word belgelerinin çoğu, geliştiricinin Korece'ye aşina olduğunu veya Kore ortamında çalıştığını düşündüren Malgun Gothic adlı bir Korece yazı tipine sahiptir.
Geçen ayın sonlarında aynı çerçevenin ayrıntılarını paylaşan Rus siber güvenlik şirketi Positive Technologies, operatörleri Dark River takma adı altında takip ediyor.
Güvenlik araştırmacıları Denis Kuvshinov ve Maxim Andreev, "Grubun ana aracı olan MataDoor arka kapısı, karmaşık, kapsamlı bir şekilde tasarlanmış bir ağ taşıma sistemi ve arka kapı operatörü ile virüslü bir makine arasındaki iletişim için esnek seçeneklerle modüler bir mimariye sahip" dedi.
"Kod analizi, geliştiricilerin araca önemli miktarda kaynak yatırdığını gösteriyor."
En son saldırı zincirleri, aktörün hedeflere hedef odaklı kimlik avı belgeleri göndermesiyle başlar, bazı durumlarda meşru çalışanların kimliğine bürünerek, önceden keşif ve kapsamlı hazırlık yapıldığını gösterir. Bu belgeler, CVE-2021-26411 için bir istismar içeren bir HTML sayfasına bağlantı içerir.
Başarılı bir güvenlik ihlali, sistem bilgilerini göndermek ve komut ve kontrol (C2) sunucusuna dosya indirmek ve yüklemek için uzak bir sunucudan bir Doğrulayıcı modülü alan bir yükleyicinin yürütülmesine yol açar.
Doğrulayıcı ayrıca, Kasperksy'ye göre, güvenliği ihlal edilmiş sistemlerden hassas bilgileri toplayabilen çok çeşitli komutları çalıştırmak için donatılmış MATA 4. nesil olan MataDoor'u getirmek için tasarlanmıştır.
Saldırılar ayrıca, panodan içerik yakalamak, tuş vuruşlarını kaydetmek, ekran görüntüleri almak ve Windows Kimlik Bilgileri Yöneticisi ve Internet Explorer'dan parolaları ve tanımlama bilgilerini sifonlamak için hırsız kötü amaçlı yazılımların kullanılmasıyla karakterize edilir.
Dikkate değer bir diğer araç, virüslü sisteme çıkarılabilir medya aracılığıyla komutlar gönderilmesine izin veren ve muhtemelen tehdit aktörlerinin hava boşluklu ağlara sızmasını sağlayan bir USB yayılma modülüdür. Ayrıca, dikkat çekmeden hedeflerine ulaşmak için ayrıcalıkları yükseltmek ve uç nokta güvenlik ürünlerini atlamak için CallbackHell adlı bir istismar da kullanılıyor.
Kaspersky, MATA nesil 5 veya MATAv5 olarak adlandırılan, "sıfırdan tamamen yeniden yazılmış" ve "yüklenebilir ve gömülü modüller ve eklentilerden yararlanan gelişmiş ve karmaşık bir mimari sergileyen" yeni bir MATA varyantı keşfettiğini söyledi.
Şirket, "Kötü amaçlı yazılım, süreçler arası iletişim (IPC) kanallarından dahili olarak yararlanıyor ve çok çeşitli komutlar kullanarak, kurbanın ortamında da dahil olmak üzere çeşitli protokoller arasında proxy zincirleri kurmasını sağlıyor" diye ekledi.
Toplamda, MATA çerçevesi ve eklenti kokteyli, bilgi toplama, olay izleme, süreç yönetimi, dosya yönetimi, ağ keşfi ve proxy işlevselliği ile ilgili 100'den fazla komut için destek içerir.
Kaspersky, "Aktör, kurbanın ortamında dağıtılan güvenlik çözümlerinde gezinme ve bunlardan yararlanma konusunda yüksek yetenekler gösterdi" dedi.
"Saldırganlar etkinliklerini gizlemek için birçok teknik kullandılar: rootkit'ler ve savunmasız sürücüler, dosyaları meşru uygulamalar olarak gizlemek, uygulamalar arasında iletişim için açık bağlantı noktalarını kullanmak, dosyaların çok seviyeli şifrelenmesi ve kötü amaçlı yazılımların ağ etkinliği [ve] kontrol sunucuları için bağlantılar arasında uzun bekleme süreleri ayarlamak."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı