Принцип работы атакующего российскую оборонку бэкдора объяснили
Изначально вредоносная программа распространялась через фишинговые письма с вложениями DOCX, эксплуатирующими уязвимость CVE-2021-40444. Письма предлагали получателям активировать режим редактирования документов, что позволяло эксплойту скомпрометировать системы.
Среди уникальных особенностей MataDoor - использование корректных цифровых подписей, применение защитника Themida для обфускации, а также кодирование URL-адресов полезной нагрузки в формате HTML. Это свидетельствует о сложной и организованной киберпреступной деятельности. Группа, создавшая MataDoor, имеет общие черты с прошлыми атаками на российские оборонные предприятия, пишет организация на Хабре.
Сам бэкдор MataDoor отличается исключительной сложностью, развитой архитектурой и транспортной системой, что позволяет ему незаметно работать в скомпрометированных системах. Исследователи обнаружили, что в разработку вредоносной программы были вложены значительные ресурсы, что делает ее грозной угрозой в мире кибершпионажа.
С полным разбором вы можете ознакомиться в источнике.