卡巴斯基揭示使用MATA工具集进行网络间谍活动的高级策略

卡巴斯基全球研究与分析团队（GReAT）和工业控制系统网络应急响应小组（ICS CERT）揭示了针对东欧工业公司的网络间谍活动的重大进展，攻击者使用的是更新的MATA工具集。这项调查历时数月，揭露了复杂的攻击技术、更新的恶意软件功能和新的感染链。

2022年9月初，研究人员发现了与 MATA 集群有关的新恶意软件样本，这些样本以前与Lazarus组织有关。这项针对东欧十几家公司的攻击活动从2022年8月中旬持续到2023年5月。攻击者会使用能够利用CVE-2021-26411漏洞的鱼叉式钓鱼邮件，并通过Web浏览器下载Windows可执行恶意软件。

MATA感染链错综复杂，集成了加载器、主木马、窃取程序、漏洞利用程序、rootkit和精准的受害者验证程序。一项关键发现涉及用作命令和控制（C&C）服务器的内部IP地址，这表明攻击者在受害者的基础设施内部署了自己的控制和渗透系统。卡巴斯基立即向受影响的组织发出警报，后者迅速采取了应对措施。

这次攻击是从一家工厂通过网络钓鱼电子邮件发起的，渗透到了网络中，并入侵了母公司的域控制器。他们利用漏洞和rootkit来干扰安全系统，从而获得对工作站和服务器的控制权。值得注意的是，攻击者还会访问安全解决方案面板，利用漏洞和薄弱配置收集信息，并向未连接到企业域基础设施的子公司和系统分发恶意软件。

 “为了保护工业部门免遭针对性攻击的侵害，需要提高警惕，将强大的网络安全实践与积极主动的心态相结合。在卡巴斯基，我们的专家密切关注 APT 的发展动态，跟踪其演变过程并预测其动向，以便能够检测其新战术和工具。我们一直致力于网络安全研究，致力于为组织提供对不断变化的网络威胁形势的重要见解。通过随时了解信息并实施最新的安全措施，企业可以加强对复杂对手的防御，并保护其网络和系统的安全，”卡巴斯基ICSCERT高级安全研究员Vyacheslav Kopeytsev评论说。

其他值得注意的发现还包括：

·      三个新一代的Mata恶意软件——3、4和5：这些恶意软件具有先进的远程控制功能、模块化架构和对各种协议的支持，以及灵活的代理服务器链。

·      第三代LinuxMATA：Linux版本与Windows版本共享功能，并通过安全解决方案提供。

·       USB传播模块： 可帮助渗透具备网闸的网络，该模块通过可移动介质传输数据，特别是在持有敏感信息的系统中。

·      窃密程序：这类恶意软件被用来捕获敏感信息，例如屏幕截图和存储的凭据，可以根据特定情况进行自定义。

·       EDR/安全产品绕过工具：攻击者利用公共漏洞升级权限并绕过端点安全产品。此外，还会在安装了CVE-2021-40449l漏洞补丁的系统上使用BYOD（自带易受攻击的驱动程序）的攻击手段。

最新版本的MATA使用的技术与 5-eyes APT组织使用的技术类似，因此在对其溯源方面，造成了一些困扰，难以给出明确的答案。

想要了解更多有关MATA的最新活动情况，请访问Securelist.com

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

·      为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

·      使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

·      建立持续的漏洞评估和分类系统，作为有效漏洞管理流程的基础。像卡巴斯基工业网络安全这样的专用解决方案可能会成为一个有效的助手和独特的可操作信息的来源，而这些信息不是完全公开的。

·      为了实现端点级别的检测、响应和及时的事件修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。

·      除了采取基础端点保护措施外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台。

·      由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的，所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台。

·      为了确保您的团队、您的工具和您的流程为现场的复杂事件响应做好准备，我们建议您参加专门的培训，例如卡巴斯基 ICS CERT 的ICS中的数字取证和事件响应。