Эксперты компании Positive Technologies Денис Кувшинов и Максим Андреев при участии команд Incident response и Threat intelligence PT Expert Security Center подготовили подробный отчет с анализом троянской программы, названной ими MataDoor. Троянец был ранее замечен в отчетах Malwarebytes и Лаборатории Касперского`, где он был назван MATAv5 и атрибутирован как часть деятельности хакерской группировки Lazarus. Эксперты же Positive Technologies получили исследуемый образец на одном из предприятий ОПК осенью 2022 года.
Предположительно начальный вектор проникновения вредоноса в инфраструктуру предприятия эксперты связывают с эксплуатацией уязвимости в компоненте Microsoft Internet Explorer под номером CVE-2021-40444. К сожалению, этот же компонент используется и в офисных приложениях Microsoft Office, что и позволяет сделать эксплойт, который запустит загрузку и исполнение на машине жертвы вредоносного кода. Для успешной атаки нужно, чтобы жертва загрузила документ в формате DOCX и открыла его на редактирование в Microsoft Office.
Письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались по сведениям исследователей на российские предприятия оборонно-промышленного комплекса в августе-сентябре 2022 года. Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, часть была составлена так, чтобы просто привлечь внимание адресата. Однако ранее – в сентябре 2021 года – компанией Malwarebytes были зафиксированы и исследованы аналогичные рассылки, но с другим эксплойтом.
Письма с эксплойтом уязвимости CVE-2021-40444 должны побуждать пользователя активировать режим редактирования документа, что является необходимым условием для его отработки. В этих письмах использовалось специфическое оформление текста, которое должно было побудить пользователя включить режим редактирования и сменить цвет шрифта на более контрастный. При включении режима редактирования происходит загрузка и выполнение вредоносного кода с контролируемого атакующими ресурса. Поэтому, если ваши сотрудники получали и просматривали письма с неконтрастным или другим неудобочитаемым оформлением, то стоит обследовать вашу инфраструктуру с помощью индикаторов компрометации, которые опубликовали в отчете исследователи.
Следует отметить, что MataDoor ориентирован на долговременное скрытое функционирование в скомпрометированной системе. Его файлы названы именами, похожими на легальное ПО, установленное на зараженных устройствах. К тому же ряд образцов имел действительную цифровую подпись. Также выявленные исполняемые файлы и библиотеки были обработаны протектором Themida для усложнения их анализа и обнаружения.
Сам же вредонос является модульным троянцем, который состоит из ядра (оркестратора) и модулей (плагинов), которые как раз и обеспечивают всю черную работу вредоноса в зависимости от того, на каком компьютере он установлен. MataDoor также предоставлял для своих модулей инфраструктуру передачи данных на контрольный сервер и асинхронного исполнения команд, загруженных с него. Таким образом, MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб. Ущерб, который был нанесен обнаруженным вредоносом и его собратьями, пока оценить достаточно сложно – в каждом отдельном случае нужно проводить тщательное расследование.
Источник: TADVISER
С информацией о российских аналогах Microsoft Office можно ознакомиться на страницах сайта:
Российское ПО: офисное и коммуникационное ПО, управление инфраструктурным ПО конечных пользователей
Возврат к списку