MATA 恶意软件利用EDR攻击东欧能源企业和国防工业
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
网络安全公司卡巴斯基发现MATA组织的新恶意软件样本,采用鱼叉式网络钓鱼电子邮件进行攻击,利用CVE-2021-26411启动感染链。MATA框架可在目标网络中打开后门并获得“持久性”,还加载了其他插件执行多项命令。攻击者利用CVE-2021-40449漏洞绕过EDR和安全工具。
🎯
关键要点
- 卡巴斯基发现MATA组织的新恶意软件样本,采用鱼叉式网络钓鱼电子邮件进行攻击。
- 攻击利用CVE-2021-26411启动感染链,MATA框架可在目标网络中打开后门并获得持久性。
- MATA框架结合了加载器、主木马和信息窃取器,攻击者滥用EDR进行攻击。
- 网络攻击者扩展了攻击范围,从单个域控制器扩展到整个公司网络。
- MATA恶意软件有多个版本,包括Linux变种和不同代数的演变。
- 最新版MATA支持多种协议连接和远程控制功能,能够执行23种操作。
- 恶意软件加载其他插件,执行信息收集、进程管理等75项命令。
- 研究人员发现新模块可利用USB等可移动存储感染空气间隙系统。
- 攻击者利用CVE-2021-40449漏洞绕过EDR和安全工具,改变内核内存使安全工具失效。
- MATA恶意软件的来源仍存在疑点,与多个APT组织的技术相似。
➡️
