日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
MATA 惡意軟件利用EDR攻擊東歐能源企業(yè)和國防工業(yè)

Bleeping Computer 網(wǎng)站披露,2022 年 8 月至 2023 年 5 月期間,研究人員在針對東歐石油天然氣公司和國防工業(yè)的攻擊活動中發(fā)現(xiàn)了 MATA 后門框架的新變種。

從研究人員發(fā)布的信息來看,網(wǎng)絡(luò)攻擊者采用魚叉式網(wǎng)絡(luò)釣魚電子郵件,誘騙目標(biāo)下載惡意可執(zhí)行文件,利用 Internet Explorer 中的 CVE-2021-26411 啟動感染鏈,本次更新后的 MATA 框架結(jié)合了一個加載器、一個主木馬和一個信息竊取器,可在目標(biāo)網(wǎng)絡(luò)中打開后門并獲得“持久性”。

網(wǎng)絡(luò)攻擊者濫用 EDR

2022 年 9 月,網(wǎng)絡(luò)安全公司卡巴斯基發(fā)現(xiàn)了多個屬于 MATA 組織的新惡意軟件樣本。進(jìn)一步分析顯示,網(wǎng)絡(luò)攻擊者破壞了目標(biāo)組織子公司之間相連的財務(wù)軟件服務(wù)器的網(wǎng)絡(luò)系統(tǒng), 可見,網(wǎng)絡(luò)攻擊者已將其“立足點(diǎn)”從生產(chǎn)工廠的單個域控制器擴(kuò)展到整個公司網(wǎng)絡(luò)。

攻擊鏈繼續(xù)向下,網(wǎng)絡(luò)攻擊者先后訪問了兩個安全解決方案管理面板,其中一個用于端點(diǎn)保護(hù),另一個用于合規(guī)性檢查。獲得安全軟件管理面板的訪問權(quán)限后,網(wǎng)絡(luò)攻擊者對該組織的基礎(chǔ)設(shè)施實(shí)施監(jiān)控,并向其子公司傳播惡意軟件。

MATA 攻擊鏈(卡巴斯基)

MATA 惡意軟件迭代詳情

值得一提的是,研究人員發(fā)現(xiàn),在攻擊目標(biāo)是 Linux 服務(wù)器適用情況下,網(wǎng)絡(luò)攻擊者采用了 ELF 文件形式的 MATA Linux 變種,其功能似乎與第三代 Windows 植入程序類似。

卡巴斯基在對三種新版本 MATA 惡意軟件取樣研究發(fā)現(xiàn),一種(v3)是從過去攻擊中出現(xiàn)的第二代惡意軟件演變而來,第二種(v4)被稱為 "MataDoor",第三種(v5)則是從零開始編寫的。

最新版 MATA 采用 DLL 形式,具有遠(yuǎn)程控制功能,支持與控制服務(wù)器的多協(xié)議(TCP、SSL、PSSL、PDTLS)連接,并支持代理(SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM)服務(wù)器鏈。第五代 MATA 支持包括設(shè)置連接、執(zhí)行植入管理和檢索信息等在內(nèi)的 23 種操作。

vanilla MATA 支持的最重要命令如下:

  • 0x003: 使用特定命令集連接 C2 服務(wù)器。
  • 0x001:啟動新的客戶端會話,管理來自 Buffer-box 的各種命令。
  • 0x006: 使用特定延遲和隊列命令安排重新連接。
  • 0x007: 返回詳細(xì)的系統(tǒng)和惡意軟件信息、加密密鑰、插件路徑等。
  • 0x00d: 配置受害者 ID 和連接參數(shù)等重要設(shè)置。
  • 0x020: 啟動與 C2 服務(wù)器的連接并轉(zhuǎn)發(fā)流量。
  • 0x022:探測與給定 C2 服務(wù)器和代理列表的活動連接。

惡意軟件還加載了其他插件,使其能夠執(zhí)行另外 75 項(xiàng)命令,這些命令主要涉及信息收集、進(jìn)程管理、文件管理、網(wǎng)絡(luò)偵察、代理功能和遠(yuǎn)程 shell 執(zhí)行。

記錄的活動時間(GMT)(卡巴斯基)

不僅如此,研究人員還發(fā)現(xiàn)了一種新惡意軟件模塊,該模塊可以利用 USB 等可移動存儲介質(zhì)感染空氣間隙系統(tǒng);還有多種能夠捕獲憑證、cookie、屏幕截圖和剪貼板內(nèi)容的竊取程序,以及 EDR/安全繞過工具。

研究人員在報告中指出,網(wǎng)絡(luò)攻擊者利用公開的 CVE-2021-40449 漏洞利用程序(被稱為 "CallbackHell")繞過了 EDR 和安全工具,利用這一工具,網(wǎng)絡(luò)攻擊者可以改變內(nèi)核內(nèi)存并鎖定特定的回調(diào)例程,從而使端點(diǎn)安全工具失效。如果上述繞過方法失敗,網(wǎng)絡(luò)攻擊者便會改用之前記錄的“自帶漏洞驅(qū)動程序”(BYOVD)技術(shù)。

攻擊者針對的防病毒軟件(卡巴斯基)

值得一提的是,對于 MATA 惡意軟件的來源目前仍舊存在許多疑點(diǎn),卡巴斯基此前將 MATA 惡意軟件與黑客組織 Lazarus 聯(lián)系在一起,但較新的 MATA 變種和技術(shù)(如 TTLV 序列化、多層協(xié)議和握手機(jī)制)卻與  Purple、Magenta 和 Green Lambert 等 APT 組織如更為相似。

文章來源:https://www.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/


當(dāng)前文章:MATA 惡意軟件利用EDR攻擊東歐能源企業(yè)和國防工業(yè)
文章鏈接:http://www.dlmjj.cn/article/djcpiep.html