Een bijgewerkte versie van een geavanceerd achterdeurframework genaamd MAT is gebruikt bij aanvallen gericht op ruim een dozijn Oost-Europese bedrijven in de olie- en gassector en de defensie-industrie als onderdeel van een cyberspionageoperatie die plaatsvond tussen augustus 2022 en mei 2023.
“De actoren achter de aanval gebruikten spear-phishing-mails om zich op verschillende slachtoffers te richten. Sommigen werden besmet met Windows-uitvoerbare malware door bestanden te downloaden via een internetbrowser”, zei Kaspersky in een nieuw, uitgebreid rapport dat deze week werd gepubliceerd.
“Elk phishing-document bevat een externe link om een externe pagina op te halen die een CVE-2021-26411-exploit bevat.”
CVE-2021-26411 (CVSS-score: 8,8) verwijst naar een kwetsbaarheid voor geheugenbeschadiging in Internet Explorer die kan worden geactiveerd om willekeurige code uit te voeren door een slachtoffer te misleiden zodat hij een speciaal vervaardigde site bezoekt. Het werd begin 2021 eerder door de Lazarus Group uitgebuit om zich op beveiligingsonderzoekers te richten.
Het platformonafhankelijke MATA-framework werd voor het eerst gedocumenteerd door het Russische cyberbeveiligingsbedrijf in juli 2020 en koppelde het aan de productieve Noord-Koreaanse door de staat gesponsorde ploeg bij aanvallen gericht op verschillende sectoren in Polen, Duitsland, Turkije, Korea, Japan en India sinds april 2018. .
Het gebruik van een vernieuwde versie van MATA om defensieaannemers aan te vallen werd eerder in juli 2023 door Kaspersky bekendgemaakt, hoewel de toeschrijving aan de Lazarus Group op zijn best zwak blijft vanwege de aanwezigheid van technieken die worden gebruikt door Five Eyes APT-acteurs zoals Purple Lambert, Magenta Lambert , en Groene Lambert.
Dat gezegd hebbende, bevat een meerderheid van de kwaadaardige Microsoft Word-documenten die door de aanvallers zijn gemaakt een Koreaans lettertype genaamd Malgun Gothic, wat erop wijst dat de ontwikkelaar bekend is met Koreaans of in een Koreaanse omgeving werkt.
Het Russische cyberbeveiligingsbedrijf Positive Technologies, dat eind vorige maand details van hetzelfde raamwerk deelde, volgt de operators onder de naam Dark River.
“Het belangrijkste instrument van de groep, de MataDoor-backdoor, heeft een modulaire architectuur, met een complex, grondig ontworpen systeem van netwerktransport en flexibele opties voor communicatie tussen de backdoor-operator en een geïnfecteerde machine”, aldus beveiligingsonderzoekers Denis Kuvshinov en Maxim Andreev.
“De codeanalyse suggereert dat de ontwikkelaars aanzienlijke middelen in de tool hebben geïnvesteerd.”
De nieuwste aanvalsketens beginnen met het verzenden van spearphishing-documenten naar doelwitten, in sommige gevallen door zich voor te doen als legitieme werknemers, wat duidt op voorafgaande verkenning en uitgebreide voorbereiding. Deze documenten bevatten een link naar een HTML-pagina die een exploit voor CVE-2021-26411 insluit.
Een succesvol compromis leidt tot de uitvoering van een lader die op zijn beurt een Validator-module ophaalt van een externe server om systeeminformatie te verzenden en bestanden te downloaden en te uploaden van en naar de command-and-control (C2)-server.
De Validator is ook ontworpen om MataDoor op te halen, wat volgens Kasperksy MATA generatie 4 is en is uitgerust om een breed scala aan opdrachten uit te voeren die gevoelige informatie van gecompromitteerde systemen kunnen verzamelen.
De aanvallen worden verder gekenmerkt door het gebruik van stealer-malware om inhoud van het klembord vast te leggen, toetsaanslagen op te nemen, schermafbeeldingen te maken en wachtwoorden en cookies uit Windows Credential Manager en Internet Explorer te hevelen.
Een ander opmerkelijk hulpmiddel is een USB-propagatiemodule waarmee opdrachten naar het geïnfecteerde systeem kunnen worden verzonden via verwijderbare media, waardoor de bedreigingsactoren waarschijnlijk in air-gapped netwerken kunnen infiltreren. Er wordt ook een exploit gebruikt genaamd CallbackHell om bevoegdheden te verhogen en eindpuntbeveiligingsproducten te omzeilen om hun doelen te bereiken zonder de aandacht te trekken.
Kaspersky zei dat het ook een nieuwe MATA-variant heeft ontdekt, genaamd MATA generatie 5 of MATAv5, die “volledig opnieuw geschreven is” en “een geavanceerde en complexe architectuur vertoont die gebruik maakt van laadbare en ingebedde modules en plug-ins.”
“De malware maakt intern gebruik van inter-process communication (IPC)-kanalen en gebruikt een breed scala aan commando’s, waardoor het proxyketens over verschillende protocollen heen kan opzetten – ook binnen de omgeving van het slachtoffer”, voegde het bedrijf eraan toe.
In totaal bieden het MATA-framework en de cocktail van plug-ins ondersteuning voor meer dan 100 opdrachten met betrekking tot het verzamelen van informatie, het monitoren van gebeurtenissen, procesbeheer, bestandsbeheer, netwerkverkenning en proxyfunctionaliteit.
“De acteur demonstreerde hoge capaciteiten in het navigeren door en benutten van beveiligingsoplossingen die in de omgeving van het slachtoffer worden ingezet”, aldus Kaspersky.
“Aanvallers gebruikten vele technieken om hun activiteiten te verbergen: rootkits en kwetsbare stuurprogramma’s, het vermommen van bestanden als legitieme applicaties, het gebruiken van poorten die openstaan voor communicatie tussen applicaties, versleuteling op meerdere niveaus van bestanden en netwerkactiviteit van malware. [and] lange wachttijden instellen tussen verbindingen met controleservers.”
