Кибербезопасность
Специалисты предполагают, что атака начинается с фишингового письма, которое содержит текстовый файл с расширением .docx. Содержимое документа выстроено так, что получателю приходится открывать режим редактирования. Вместе с включением этого режима происходит загрузка ресурса, контролируемого киберпреступниками. Похожие письма рассылались на российские предприятия в августе–сентябре 2022 года.
Бэкдор хорошо маскируется: имена его исполняемых файлов похожи на названия легального ПО, установленного на зараженных машинах, а ряд образцов имеет действительную цифровую подпись. Разработчики скрыли вредоносный код от анализа и детектирования с помощью упаковщиков разных видов, которые сжимают файлы, чтобы максимально усложнить обнаружение.
"Главная особенность бэкдора MataDoor в том, что он беспрецедентно сложный по сравнению с тем, что мы видели до сих пор. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно", – рассказал старший специалист отдела исследования угроз ИБ Positive Technologies Максим Андреев.
Исследователи компании впервые обнаружили такой механизм атаки через MataDoor при расследовании инцидента в прошлом году. В настоящее время известно не более четырех случаев применения MataDoor в кибератаках, все они были нацелены на крупные организации.