MATA 恶意软件利用EDR攻击东欧能源企业和国防工业

Bleeping Computer 网站披露,2022 年 8 月至 2023 年 5 月期间,研究人员在针对东欧石油天然气公司和国防工业的攻击活动中发现了 MATA 后门框架的新变种。

从研究人员发布的信息来看,网络攻击者采用鱼叉式网络钓鱼电子邮件,诱骗目标下载恶意可执行文件,利用 Internet Explorer 中的 CVE-2021-26411 启动感染链,本次更新后的 MATA 框架结合了一个加载器、一个主木马和一个信息窃取器,可在目标网络中打开后门并获得“持久性”。

网络攻击者滥用 EDR

2022 年 9 月,网络安全公司卡巴斯基发现了多个属于 MATA 组织的新恶意软件样本。进一步分析显示,网络攻击者破坏了目标组织子公司之间相连的财务软件服务器的网络系统, 可见,网络攻击者已将其“立足点”从生产工厂的单个域控制器扩展到整个公司网络。

攻击链继续向下,网络攻击者先后访问了两个安全解决方案管理面板,其中一个用于端点保护,另一个用于合规性检查。获得安全软件管理面板的访问权限后,网络攻击者对该组织的基础设施实施监控,并向其子公司传播恶意软件。

MATA 攻击链(卡巴斯基)

MATA 恶意软件迭代详情

值得一提的是,研究人员发现,在攻击目标是 Linux 服务器适用情况下,网络攻击者采用了 ELF 文件形式的 MATA Linux 变种,其功能似乎与第三代 Windows 植入程序类似。

卡巴斯基在对三种新版本 MATA 恶意软件取样研究发现,一种(v3)是从过去攻击中出现的第二代恶意软件演变而来,第二种(v4)被称为 “MataDoor”,第三种(v5)则是从零开始编写的。

最新版 MATA 采用 DLL 形式,具有远程控制功能,支持与控制服务器的多协议(TCP、SSL、PSSL、PDTLS)连接,并支持代理(SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM)服务器链。第五代 MATA 支持包括设置连接、执行植入管理和检索信息等在内的 23 种操作。

vanilla MATA 支持的最重要命令如下:

  • 0x003: 使用特定命令集连接 C2 服务器。
  • 0x001:启动新的客户端会话,管理来自 Buffer-box 的各种命令。
  • 0x006: 使用特定延迟和队列命令安排重新连接。
  • 0x007: 返回详细的系统和恶意软件信息、加密密钥、插件路径等。
  • 0x00d: 配置受害者 ID 和连接参数等重要设置。
  • 0x020: 启动与 C2 服务器的连接并转发流量。
  • 0x022:探测与给定 C2 服务器和代理列表的活动连接。

恶意软件还加载了其他插件,使其能够执行另外 75 项命令,这些命令主要涉及信息收集、进程管理、文件管理、网络侦察、代理功能和远程 shell 执行。

记录的活动时间(GMT)(卡巴斯基)

不仅如此,研究人员还发现了一种新恶意软件模块,该模块可以利用 USB 等可移动存储介质感染空气间隙系统;还有多种能够捕获凭证、cookie、屏幕截图和剪贴板内容的窃取程序,以及 EDR/安全绕过工具。

研究人员在报告中指出,网络攻击者利用公开的 CVE-2021-40449 漏洞利用程序(被称为 “CallbackHell”)绕过了 EDR 和安全工具,利用这一工具,网络攻击者可以改变内核内存并锁定特定的回调例程,从而使端点安全工具失效。如果上述绕过方法失败,网络攻击者便会改用之前记录的“自带漏洞驱动程序”(BYOVD)技术。

攻击者针对的防病毒软件(卡巴斯基)

值得一提的是,对于 MATA 恶意软件的来源目前仍旧存在许多疑点,卡巴斯基此前将 MATA 恶意软件与黑客组织 Lazarus 联系在一起,但较新的 MATA 变种和技术(如 TTLV 序列化、多层协议和握手机制)却与  Purple、Magenta 和 Green Lambert 等 APT 组织如更为相似。

文章来源:https://www.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/149829.html<

(0)
管理的头像管理
上一篇2025-03-12 19:22
下一篇 2025-03-12 19:23

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注