Новая волна кибератак MATA: нефтегазовые и оборонные компании Восточной Европы под ударом

В начале сентября 2022 года эксперты Kaspersky Lab обнаружили серию новых вредоносных программ, связанных с печально известным кластером MATA. Анализ телеметрических данных показал, что киберкампания стартовала еще в середине августа 2022 года и была нацелена на более чем десяток крупных корпораций в Восточной Европе, работающих в нефтегазовой и оборонной отраслях. Атаки продолжались вплоть до мая 2023 года, что свидетельствует о высокой степени организованности злоумышленников и их долгосрочных планах.

Описание

Основным вектором атаки стал фишинг: злоумышленники рассылали поддельные письма, маскируя их под легитимные документы. Некоторые из жертв получали исполняемые вредоносные файлы для Windows, загружаемые через интернет-браузер. Каждый фишинговый документ содержал внешнюю ссылку, ведущую на удаленную страницу с эксплойтом CVE-2021-26411 - уязвимостью в Internet Explorer, позволяющей выполнять произвольный код.

Активность атакующих не снижалась в течение нескольких месяцев. Они продолжали рассылать вредоносные документы по электронной почте до конца сентября 2022 года, а общая продолжительность кампании составила около полугода. Это говорит о том, что злоумышленники тщательно планировали свои действия и адаптировали тактику в зависимости от реакции жертв и систем защиты.

Эксперты Kaspersky отмечают, что MATA - это сложный многофункциональный фреймворк, который используется для кражи конфиденциальных данных, удаленного управления зараженными системами и проведения дополнительных атак внутри корпоративных сетей. Его модульная архитектура позволяет злоумышленникам быстро модифицировать код и обходить традиционные средства защиты.

Особую тревогу вызывает тот факт, что атаки были направлены на критически важные секторы экономики - нефтегазовую и оборонную промышленность. Компрометация таких компаний может привести не только к финансовым потерям, но и к утечке стратегически важной информации, что создает угрозу национальной безопасности.

Kaspersky Lab рекомендует компаниям усилить меры кибербезопасности, включая обучение сотрудников распознаванию фишинговых атак, регулярное обновление ПО и использование современных решений для защиты конечных точек. Также важно мониторить сетевую активность на предмет подозрительных соединений и применять принцип минимальных привилегий для ограничения потенциального ущерба.

Данный инцидент в очередной раз демонстрирует, что киберпреступники становятся все более изощренными, а их атаки - более продолжительными и целенаправленными. В условиях растущих цифровых угроз только комплексный подход к безопасности может минимизировать риски и предотвратить масштабные инциденты.