Перейти к содержанию

Последние сообщения:

Последние темы:

  Login 5k user:pass combo (1) от Tema  
  Europe BIG France combolist sorted by Domains. 96k (2) от Tema  
  Куплю EU gmail Разово (1) от chopper  
  Одноразовая продажа ADV+CARD+EU (1) от chopper  
Авторизация  
slpvalerip

Киберпреступники атакуют ОС с помощью нового вредоносного ПО MATA

Рекомендуемые сообщения

Жертвами MATA оказались представители разных отраслей по всему миру.
Специалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру.

Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии.

Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий нечто вроде «командного центра» (оркестратора), а он в свою очередь скачивает необходимые модули.

В зависимости от атаки модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2. Плагины MATA способны запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.

Позже эксперты обнаружили аналогичный набор инструментов для Linux и macOS, в котором присутствовала легитимная утилита для командной строки Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.

Как полагают специалисты, MATA связана с киберпреступной группировкой Lazarus. Оркестратор MATA использует два уникальных имени файла, c_2910.cls и k_3872.cls, ранее замеченные только в нескольких вариантах вредоноса Manuscrypt, который группировка Lazarus использовала в ряде кибератак. Кроме того, MATA использует глобальные данные конфигурации, включая случайно сгенерированный идентификатор сеанса, информацию о версии на основе даты, интервал ожидания и несколько адресов C&C-серверов. Один из вариантов Manuscrypt имеет похожую структуру конфигурации с инфраструктурой MATA.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×