👁 PT 专家安全中心的专家发现了一个新的 Dark River 组织,该组织利用名为 MataDoor 的高科技模块化后门攻击国防工业公司。请阅读我们的最新研究。
我们的专家于 2022 年 10 月在调查一家俄罗斯工业企业的事件时首次遇到这种恶意软件。
🥷该后门的特点是伪装得非常完美:
- 其可执行文件的名称与安装在受感染设备上的合法软件的名称相似;
- 一些样本具有有效的数字签名;
- 恶意软件开发者使用了保护工具,使其更难被检测和分析。
我们的研究人员证实,MataDoor 是通过一封附有 DOCX 文件的网络钓鱼电子邮件进入被入侵系统的。该文件包含一个针对 CVE-2021-40444 漏洞的漏洞利用程序,该程序的特殊性在于,当启用文档编辑模式时,该漏洞就会被激活。
2022 年 8 月至 9 月,俄罗斯国防工业公司也收到过类似的漏洞利用邮件。这表明所有目标攻击的幕后黑手是同一个组织。我们将其命名为 "黑河"(Dark River)--取自某些网络钓鱼文档的 "作者 "字段中指定的 "河 "这个名字。
Positive Technologies 公司信息安全威胁研究部高级专家 Maxim Andreev 强调说: "MataDoor 后门的主要特点是具有复杂的架构。 它是一款精心设计的恶意软件,在传输、隐身和架构方面进行了定制开发。它甚至可以在逻辑隔离的网络中运行,从任何地方提取和传输数据。"
🔐 为保护企业系统免受 MataDoor 后门的入侵,Positive Technologies 专家建议采取积极措施。使用 PT Sandbox 和 PT Network Attack Discovery (PT NAD) 行为网络流量分析系统。
@Positive_Technologies
