Cyberthreat.id - Versi terbaru dari kerangka backdoor canggih yang disebut MATA telah digunakan dalam serangan yang ditujukan terhadap lebih dari selusin perusahaan Eropa Timur di sektor minyak dan gas serta industri pertahanan sebagai bagian dari operasi spionase dunia maya yang terjadi antara Agustus 2022 dan Mei 2023.

“Pelaku di balik serangan itu menggunakan email spear-phishing untuk menargetkan beberapa korban, beberapa di antaranya terinfeksi malware Windows yang dapat dieksekusi dengan mengunduh file melalui browser internet,” kata Kaspersky dalam laporan lengkap baru yang diterbitkan minggu ini.

"Setiap dokumen phishing berisi tautan eksternal untuk mengambil halaman jarak jauh yang berisi eksploitasi CVE-2021-26411."

The Hacker News melaporkan, CVE-2021-26411 (skor CVSS: 8.8) mengacu pada kerentanan kerusakan memori di Internet Explorer yang dapat dipicu untuk mengeksekusi kode arbitrer dengan menipu korban agar mengunjungi situs yang dibuat khusus. Sebelumnya dieksploitasi oleh Lazarus Group pada awal tahun 2021 untuk menargetkan peneliti keamanan.

Kerangka kerja MATA lintas platform pertama kali didokumentasikan oleh perusahaan keamanan siber Rusia pada bulan Juli 2020, menghubungkannya dengan kru produktif yang disponsori negara Korea Utara dalam serangan yang menargetkan berbagai sektor di Polandia, Jerman, Turki, Korea, Jepang, dan India sejak April 2018.

Penggunaan versi MATA yang diperbarui untuk menyerang kontraktor pertahanan sebelumnya diungkapkan oleh Kaspersky pada Juli 2023, meskipun atribusi ke Grup Lazarus masih lemah karena adanya teknik yang digunakan oleh aktor APT Lima Mata seperti Purple Lambert, Magenta Lambert , dan Green Lambert.

Meskipun demikian, sebagian besar dokumen Microsoft Word berbahaya yang dibuat oleh penyerang menampilkan font Korea yang disebut Malgun Gothic, menunjukkan bahwa pengembangnya akrab dengan bahasa Korea atau bekerja di lingkungan Korea.

Perusahaan keamanan siber Rusia, Positive Technologies, yang membagikan rincian kerangka kerja yang sama akhir bulan lalu, sedang melacak operator dengan nama Dark River.

“Alat utama kelompok ini, backdoor MataDoor, memiliki arsitektur modular, dengan sistem transportasi jaringan yang kompleks dan dirancang secara menyeluruh serta opsi fleksibel untuk komunikasi antara operator pintu belakang dan mesin yang terinfeksi,” kata peneliti keamanan Denis Kuvshinov dan Maxim Andreev kepada The Hacker News.

“Analisis kode menunjukkan bahwa pengembang menginvestasikan sumber daya yang besar ke dalam alat ini.”

Rantai serangan terbaru dimulai dengan aktor mengirimkan dokumen spear-phishing ke target, dalam beberapa kasus dengan menyamar sebagai karyawan yang sah, yang mengindikasikan adanya pengintaian sebelumnya dan persiapan ekstensif. Dokumen-dokumen ini menyertakan link ke halaman HTML yang menyematkan eksploitasi untuk CVE-2021-26411.

Kompromi yang berhasil akan menghasilkan eksekusi loader yang, pada gilirannya, mengambil modul Validator dari server jarak jauh untuk mengirim informasi sistem dan mengunduh serta mengunggah file ke dan dari server perintah-dan-kontrol (C2).

Validator juga dirancang untuk mengambil MataDoor, yang menurut Kasperksy, adalah MATA generasi 4 yang dilengkapi untuk menjalankan berbagai perintah yang mampu mengumpulkan informasi sensitif dari sistem yang disusupi.

Serangan ini lebih lanjut ditandai dengan penggunaan malware pencuri untuk menangkap konten dari clipboard, merekam penekanan tombol, mengambil tangkapan layar, dan menyedot kata sandi dan cookie dari Windows Credential Manager dan Internet Explorer.

Alat penting lainnya adalah modul propagasi USB yang memungkinkan pengiriman perintah ke sistem yang terinfeksi melalui media yang dapat dipindahkan, yang kemungkinan memungkinkan pelaku ancaman menyusup ke jaringan celah udara.

Eksploitasi yang disebut CallbackHell juga digunakan untuk meningkatkan hak istimewa dan melewati produk keamanan titik akhir sehingga dapat mencapai tujuannya tanpa menarik perhatian.

Kaspersky mengatakan pihaknya juga menemukan varian MATA baru, yang dijuluki MATA generasi 5 atau MATAv5, yang “sepenuhnya ditulis ulang dari awal” dan “menunjukkan arsitektur canggih dan kompleks yang memanfaatkan modul dan plugin yang dapat dimuat dan tertanam.”

“Malware ini memanfaatkan saluran komunikasi antar-proses (IPC) secara internal dan menggunakan beragam perintah, memungkinkannya membangun rantai proxy di berbagai protokol – juga di lingkungan korban,” tambah perusahaan itu.

Secara total, kerangka kerja MATA dan pluginnya menggabungkan dukungan untuk lebih dari 100 perintah yang berkaitan dengan pengumpulan informasi, pemantauan peristiwa, manajemen proses, manajemen file, pengintaian jaringan, dan fungsi proxy.

“Aktor tersebut menunjukkan kemampuan tinggi dalam menavigasi dan memanfaatkan solusi keamanan yang diterapkan di lingkungan korban,” kata Kaspersky.

“Penyerang menggunakan banyak teknik untuk menyembunyikan aktivitas mereka: rootkit dan driver yang rentan, menyamarkan file sebagai aplikasi yang sah, menggunakan port terbuka untuk komunikasi antar aplikasi, enkripsi file multi-level dan aktivitas jaringan malware, [dan] menetapkan waktu tunggu yang lama antar koneksi untuk mengendalikan server."[]