Действующие в Восточной Европе кибершпионы плодят варианты бэкдора MATA

Действующие в Восточной Европе кибершпионы плодят варианты бэкдора MATA

Действующие в Восточной Европе кибершпионы плодят варианты бэкдора MATA

При разборе прошлогодней атаки, полагающейся на бэкдор MATA, эксперты «Лаборатории Касперского» обнаружили новых представителей вредоносного семейства, а также модуль для проникновения в изолированные сети с помощью USB-накопителей.

Данные телеметрии показали, что целевые атаки в рамках данной кампании проводились на территории Восточной Европы с середины августа 2022 года по май 2023-го. В результате пострадало более десяти предприятий оборонной промышленности и нефтегазового сектора.

Атаки, нацеленные на шпионаж и кражу данных, начинались с рассылки адресных писем с внешней ссылкой, привязанной к странице с эксплойтом CVE-2021-26411 для Internet Explorer. После отработки эксплойта в систему жертвы загружались лоадер, основной троян (MATA, ранее замеченный в атаках Lazarus) и инфостилер. Цепочка заражения почти не изменилась, ее лишь дополнили процессом валидации скомпрометированной системы, чтобы исключить возможные проблемы с доставкой зловреда.

 

В ходе атаки, разобранной в Kaspersky, злоумышленники использовали три новых варианта бэкдора: доработанную версию MATA 2-го поколения, MataDoor (MATA 4-го поколения) и написанного с нуля MATA 5-го поколения. На серверы под управлением Unix-подобных ОС устанавливалась Linux-версия MATA.

Анализ показал, что после проникновения в сеть жертвы авторы атаки провели разведку, раздобыли аутентификационные данные пользователей и с их помощью подключились к терминальному серверу материнской компании. В новом окружении им удалось повторить успех и добраться до контроллера домена.

Компрометация сервера финансовой системы и централизованной системы управления защитными решениями открыла злоумышленникам доступ к сетям нескольких десятков дочерних организаций.

В ходе многоступенчатой атаки были продемонстрированы широкие возможности по обходу и эксплуатации защитных решений. Скрыть вредоносную активность помогали использование руткитов, уязвимых драйверов ядра, а также имитация легитимных файлов и многоуровневое шифрование. В тех случаях, когда целевая система находилась в изолированном сегменте сети, атакующие использовали модуль для работы с USB-носителями.

«Защита промышленного сектора от таргетированных атак требует комплексного подхода, сочетающего надёжные методы обеспечения кибербезопасности с проактивными действиями, — отметил эксперт из команды Kaspersky ICS CERT Вячеслав Копейцев. — Постоянно отслеживая новые находки исследователей и внедряя новейшие решения для обеспечения безопасности, предприятия могут выстроить эффективную стратегию защиты».

Защититься от подобных атак организациям помогут следующие рекомендации Kaspersky:

  • регулярно проводить аудит безопасности ОТ-систем;
  • использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity;
  • обучать сотрудников основам кибергигиены;
  • проводить тренинги для ИБ-специалистов и ОТ-инженеров;
  • ограждать ИТ-инфраструктуру от киберугроз с помощью решений комплексной защиты.

Банки Беларуси с 1 июля будут собирать геолокацию клиентов

С 1 июля банки в Беларуси обязаны использовать антифрод-системы и собирать цифровой отпечаток устройств клиентов. В этот набор данных войдут модель устройства, версия ПО, параметры браузера, настройки системы и геолокация.

О новых требованиях сообщает БЕЛТА со ссылкой на Национальный банк Беларуси. Регулятор утвердил стандарт «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства».

Логика простая: если мошенник украл пароль, это еще не значит, что он сможет спокойно войти в онлайн-банк и вывести деньги. При первом входе клиента в систему дистанционного обслуживания банк формирует эталонный цифровой отпечаток устройства.

Если позже кто-то попытается войти с другого устройства, с подозрительными параметрами или подмененной геолокацией, антифрод-система должна заметить несоответствие и остановить операцию.

Доступ в таком случае будет заблокирован до подтверждения со стороны клиента. При этом количество устройств не ограничено: у пользователя может быть несколько эталонных отпечатков, например для смартфона, ноутбука и планшета.

Отдельно подчеркивается, что банки должны не просто уведомить клиентов о сборе геолокации, но и получить их разрешение. Собранные данные будут храниться в зашифрованном виде, не передаваться третьим лицам и использоваться только для антифрод-проверок при входе в банковские сервисы.

По сути, белорусские банки переходят к более жесткой проверке не только того, кто вводит пароль, но и откуда, с какого устройства и в каких условиях это происходит. Для клиентов это может добавить лишний шаг подтверждения, зато мошенникам станет заметно сложнее выдавать свой вход за обычную активность владельца счета.

RSS: Новости на портале Anti-Malware.ru