Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) ve Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi (ICS CERT), güncellenmiş MATA araç setini kullanarak Doğu Avrupa sanayi şirketlerini hedef alan siber casusluk faaliyetlerinde önemli gelişmeler olduğunu açıkladı. Aylar süren soruşturma, sofistike saldırı tekniklerini, güncellenmiş kötü amaçlı yazılımların yeteneklerini ve yeni bulaşma zincirini ortaya çıkardı.
Eylül 2022’nin başlarında, daha önce Lazarus grubuyla ilişkilendirilen MATA kümesiyle bağlantılı yeni kötü amaçlı yazılım örnekleri tespit edilmişti. Bir düzinenin üzerinde Doğu Avrupa şirketini hedef alan bu kampanya Ağustos 2022 ortasından Mayıs 2023’e kadar devam etti. Saldırganlar, CVE-2021-26411 istismarını kullanan spear-phishing e-postaları ve web tarayıcıları aracılığıyla Windows çalıştırılabilir kötü amaçlı yazılım indirmelerini kullanmıştı.
MATA bulaşma zinciri, yükleyici, ana Truva atı ve kimlik hırsızlarını istismarlar, rootkitler ve hassas doğrulama süreçleriyle entegre eden karmaşık bir yapıya sahipti. Komuta ve Kontrol (C&C) sunucuları olarak kullanılan dahili IP adresleri, saldırganların kurbanların altyapısına kendi kontrol ve sızma sistemlerini yerleştirdiğini gösteren önemli bir keşfe karşılık geliyordu. Kaspersky, durumdan etkilenen kuruluşları derhal uyararak hızlı bir şekilde müdahale edilmesini sağladı.
Bir fabrikadaki kimlik avı e-postasıyla başlatılan saldırı, ağa sızarak ana şirketin etki alanı denetleyicisini tehlikeye attı. Saldırganlar daha sonra güvenlik sistemlerine müdahale etmek için güvenlik açıklarından ve rootkitlerden faydalanarak iş istasyonları ve sunucular üzerinde kontrol sahibi oldular. Özellikle güvenlik çözümü panellerine erişerek, bilgi toplamak ve kötü amaçlı yazılımları yan kuruluşlara ve kurumsal etki alanı altyapısına bağlı olmayan sistemlere dağıtmak için güvenlik açıklarından ve zayıf yapılandırmalardan yararlandılar.
