Исследователи “Лаборатории Касперского” обнаружили масштабную вредоносную кампанию, которая была направлена на кражу конфиденциальных данных из десятков организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники использовали продвинутые техники и инструменты для шпионажа, включая модуль для проникновения в изолированные сети с помощью USB-накопителей и бэкдор Linux MATA.
Атака началась в августе 2022 года с рассылки целевых фишинговых писем, содержащих вредоносные документы Word. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними – сервер финансовой системы и панель управления защитным решением для проверки требований ИБ – злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.
Для реализации атаки злоумышленники использовали три новых поколения вредоносного ПО MATA, включая доработанный MATA второго поколения, а также новые версии, получившие имена MataDoor и MATA пятого поколения. Другой примечательной составляющей этой сложной атаки является то, что целями злоумышленников также стали cерверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением, в совокупности с применением версии вредоносного ПО MATA для Linux, позволило злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.
При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.
Атакующие также продемонстрировали высокий уровень подготовки и умение обходить защитные решения, установленные в атакованных средах. Они применяли множество техник для скрытия своей активности, таких как использование руткитов, уязвимых драйверов, маскировка файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО.
Хотя большая часть вредоносных документов Word содержала корейский шрифт Malgun Gothic (맑은 고딕), указывая на возможную связь с APT Lazarus, исследователи также обнаружили технические приёмы, которые могут указывать на другие группировки, включая альянс Five Eyes. Однако определить истинного инициатора атаки до сих пор не удалось.