Компьютеры1 мин.

Принцип работы атакующего российскую оборонку бэкдора объяснили

Встречайте, MataDoor

© Ferra.ru / Kandinsky 2.2

Новая киберпреступная группировка Dark River была идентифицирована как создатель сложного модульного вредоносного кода MataDoor, предназначенного для шпионажа и атак на российскую оборонную промышленность. Исследователи безопасности из PT Expert Security Center обнаружили эту угрозу, которая использовалась в атаках на промышленные предприятия.

Изначально вредоносная программа распространялась через фишинговые письма с вложениями DOCX, эксплуатирующими уязвимость CVE-2021-40444. Письма предлагали получателям активировать режим редактирования документов, что позволяло эксплойту скомпрометировать системы.

Среди уникальных особенностей MataDoor - использование корректных цифровых подписей, применение защитника Themida для обфускации, а также кодирование URL-адресов полезной нагрузки в формате HTML. Это свидетельствует о сложной и организованной киберпреступной деятельности. Группа, создавшая MataDoor, имеет общие черты с прошлыми атаками на российские оборонные предприятия, пишет организация на Хабре.

Сам бэкдор MataDoor отличается исключительной сложностью, развитой архитектурой и транспортной системой, что позволяет ему незаметно работать в скомпрометированных системах. Исследователи обнаружили, что в разработку вредоносной программы были вложены значительные ресурсы, что делает ее грозной угрозой в мире кибершпионажа.

С полным разбором вы можете ознакомиться в источнике.

Источник:Habr