_64a6db492d61a.jpg)
Как сообщает Telecom Daily, злоумышленники использовали модуль для проникновения в изолированные сети с помощью USB-накопителей, а также бэкдор Linux MATA. В ходе многоступенчатой кибератаки были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы.
В сентябре 2022 года в рамках исследования инцидента эксперты «Лаборатории Касперского» обнаружили новые образцы вредоносного ПО семейства MATA, которые ранее связывали с группой Lazarus. Злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 года.
После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.
Большая часть вредоносных документов Word содержала корейский шрифт Malgun Gothic. Эксперты говорят, что это указывает на то, что разработчик может владеть корейским языком или использует систему, работающую с корейской локализацией. Этот и много других артефактов, найденных во время расследования, указывают на связь с хорошо известной APT Lazarus. Однако однозначно определить, кто стоит за атакой, невозможно. В новых версиях зловреда MATA были обнаружены технические приёмы, набор которых указывает на другие группировки — из альянса Five Eyes. Однако и те, и другие находки могут быть «ложными флагами» для сокрытия истинного бенефициара атаки.
