Атаки обновленного зловреда MATA на промышленные компании в Восточной Европе

В начале сентября 2022 года мы обнаружили несколько образцов вредоносного ПО, относящихся к феймворку MATA. В ходе сбора и анализа данных телеметрии мы пришли к выводу, что эта серия атак началась в середине августа 2022 года и ее целью были организации из стран Восточной Европы, работающие в нефтегазовом секторе и сфере оборонной промышленности.

В большинстве случаев первоначальным вектором атаки являлись целевые фишинговые письма, мы также выявили несколько случаев заражения, когда исполняемый файл вредоносного ПО был загружен из интернета с использованием веб-браузера. В каждом фишинговом документе размещалась ссылка на внешнюю веб-страницу, которая содержала код, эксплуатирующий уязвимость CVE-2021-26411. Злоумышленники продолжали рассылку вредоносных документов по электронной почте вплоть до конца сентября 2022 года. В целом, активная фаза кампании продолжалась более шести месяцев, до мая 2023 года.

Цепочка заражения MATA

Проанализировав последовательность событий и функциональность каждого модуля, мы попытались реконструировать цепочку заражения. Хотя в целом нам это удалось, некоторые ее звенья так и остались неизвестными. В ходе заражения злоумышленники применяли цепочку из нескольких модулей вредоносного ПО: загрузчика, основного модуля, а также модуля для кражи конфиденциальных данных. Данная схема не является новой и уже применялась в предыдущих атаках с использованием фреймворка MATA, однако в этот раз злоумышленники подготовили эксплойт для доставки вредоносного ПО, а также обновили функциональные возможности каждого из модулей. Кроме того, они внедрили процесс дополнительной проверки скомпрометированных систем, позволяющий определять, интересна ли система для развития атаки.

Цепочка заражения MATA

Исследование инцидента

Переломной точкой в нашем исследовании стало обнаружение двух образцов MATA, в которых в качестве адресов серверов управления были заданы внутренние IP-адреса. Злоумышленники иногда создают цепочки прокси-серверов внутри сети предприятия, чтобы поддерживать связь между вредоносной программой и сервером управления, например в случае, если зараженная система не имеет прямого доступа в интернет. Конечно же, мы уже видели это раньше, но в данном случае в конфигурации вредоносной программы содержались IP-адреса из незнакомой нам на тот момент подсети, что и привлекло наше внимание.

Вскоре выяснилось, что скомпрометированные системы являются серверами финансового ПО и сетевой доступ с этих серверов возможен сразу на несколько десятков дочерних предприятий атакованной организации. В этот момент нам стало понятно, что компрометация контроллера домена одного предприятия – это лишь верхушка айсберга. Далее мы обнаружили, что начав атаку с завода через фишинговое письмо, злоумышленники продвигались в сети, пока не обнаружили ярлык RDP-подключения к терминальному серверу материнской компании. Затем они перехватили учётные данные пользователя и подключились к терминальному серверу. После этого они повторили всё то, что уже делали на атакованном заводе, но уже в масштабах материнской компании: помешали работе защитного ПО, используя уязвимость в легитимном драйвере и руткит, перехватили учётные данные пользователей (многие из которых были закэшированы на терминальном сервере, включая учётные записи администраторов многих систем) и начали активно продвигаться по сети.

Закономерно, что это привело к захвату контроллера домена материнской компании и получению контроля над ещё большим количеством рабочих станций и серверов. Однако и на этом злоумышленники не остановились. Им удалось получить доступ к панелям управления сразу двумя защитными решениями. Сначала они захватили решение для проверки соответствия систем требованиям информационной безопасности (частично реализующее концепцию ZeroTrust), воспользовавшись одной из его уязвимостей. Далее с помощью уже скомпрометированного ZeroTrust-решения злоумышленники захватили панель управления решениями для защиты конечных узлов, воспользовавшись также и тем, что она была недостаточно безопасно настроена.

Оба защитных решения были использованы злоумышленниками для сбора сведений об инфраструктуре атакованной организации, а также для распространения вредоносного ПО. В результате, захват систем управления защитными решениями позволил злоумышленникам, во-первых, распространить вредоносное ПО сразу на несколько дочерних предприятий (подключенных к системе ZeroTrust), во-вторых, заразить Linux-вариантом MATA сервера под управлением Unix-подобных систем, к которым у них не было доступа даже после получения полного контроля над доменом организации.

Ключевые находки

• Три новых поколения фреймворка MATA
  Первая из новых вредоносных программ является доработанной версией MATA 2-го поколения. Следующая, которой мы присвоили имя MataDoor, была написана с нуля и может рассматриваться как версия 4-го поколения. Третью новинку мы определили как MATA 5-го поколения, и она также была создана с нуля. Как и предыдущие поколения, MATA-5 обладает обширными возможностями для удаленного управления зараженной системой, имеет модульную архитектуру и предоставляет злоумышленникам возможность подключения к серверам управления по различным протоколам, а также поддерживает цепочки прокси-серверов.
• Linux MATA 3-го поколения
  Как было упомянуто выше, злоумышленники использовали защитные решения для заражения серверов под управлением Unix-подобных систем Linux-вариантом MATA. Мы обнаружили идентичные вредоносные ELF-файлы на сервере управления антивирусным решением и на системах под управлением Linux. Ввиду этого мы с высокой степенью уверенности полагаем, что этот зловред был доставлен с помощью средств передачи и удаленного выполнения файлов агентами защитных решений. Версия для Linux обладает идентичными с версией MATA 3-го поколения для Windows возможностями, и, похоже, обе они создавались на базе одних и тех же исходных кодов.
• Имплант для проникновения в изолированные сети с использованием USB-носителей
  Это специальный вредоносный модуль, предназначенный для отправки команд зараженной системе через съемный носитель. Он же отвечает и за транспортировку данных, собранных вредоносной программой на зараженной системе, через USB. По нашему мнению, этот компонент используется злоумышленниками для проникновения в системы, находящиеся за так называемым «воздушным барьером», т.е. находящимися в полностью изолированных сегментах сети. Поскольку такие системы обычно хранят наиболее конфиденциальную информацию, они представляют особый интерес для злоумышленников.
• ПО для кражи данных
  В ходе заражения злоумышленники применяли цепочку из нескольких модулей вредоносного ПО, в том числе модуля для кражи конфиденциальных данных. Данная схема уже применялась в предыдущих атаках с использованием фреймворка MATA. В рамках описываемой кампании злоумышленники в зависимости от обстоятельств использовали различные варианты модуля. В некоторых случаях такие модули обладали возможностью только делать снимки экрана зараженного устройства. В других мы обнаруживали вредоносное ПО, предназначенное для кражи сохраненных учетных данных и файлов cookie из системы жертвы.
• Инструменты для обхода EDR и других защитных решений
  В некоторых случаях злоумышленники использовали публичный эксплойт под названием CallbackHell для эскалации привилегий и обхода защитных решений. Эксплойт, который был обнаружен и описан нами в 2021 году, использует CVE-2021-40449, уязвимость класса use-after-free в API NtGdiResetDC в Win32k. Этот инструмент позволил злоумышленникам действовать незаметно и эффективнее достигать намеченных целей. На системах с устранённой уязвимостью злоумышленники применяли технику BYOVD (Bring Your Own Vulnerable Driver).

Кто стоит за атакой?

С самых первых версий фреймворка MATA у нас были некоторые сомнения, с какой APT его связывать. С появлением последних поколений MATA это сомнение еще более возросло. С одной стороны, существуют очевидные аргументы, связывающие МАТА с APT-группой Lazarus. С другой, в последних поколениях MATA мы обнаруживаем все больше техник, аналогичных тем, которые используются APT-группами альянса Five Eyes.

Подробная техническая информация о новых поколениях фреймворка MATA, описание вредоносной инфраструктуры злоумышленников, атрибуция и сведения о жертвах кампании собраны в полной версии отчета «Атаки обновленного зловреда MATA на промышленные компании в Восточной Европе«.