Новая киберпреступная группировка Dark River была идентифицирована как создатель сложного модульного вредоносного кода MataDoor, предназначенного для шпионажа и атак на российскую оборонную промышленность. Исследователи безопасности из PT Expert Security Center обнаружили эту угрозу, которая использовалась в атаках на промышленные предприятия.
Изначально вредоносная программа распространялась через фишинговые письма с вложениями DOCX, эксплуатирующими уязвимость CVE-2021-40444. Письма предлагали получателям активировать режим редактирования документов, что позволяло эксплойту скомпрометировать системы.
Среди уникальных особенностей MataDoor – использование корректных цифровых подписей, применение защитника Themida для обфускации, а также кодирование URL-адресов полезной нагрузки в формате HTML. Это свидетельствует о сложной и организованной киберпреступной деятельности. Группа, создавшая MataDoor, имеет общие черты с прошлыми атаками на российские оборонные предприятия, пишет организация на Хабре.
Сам бэкдор MataDoor отличается исключительной сложностью, развитой архитектурой и транспортной системой, что позволяет ему незаметно работать в скомпрометированных системах. Исследователи обнаружили, что в разработку вредоносной программы были вложены значительные ресурсы, что делает ее грозной угрозой в мире кибершпионажа.
С полным разбором вы можете ознакомиться в источнике.