MataDoor 模块化后门:先发现后解除

DarkRiver组织利用高度模拟能力的MataDoor后门攻击国防公司,通过网络钓鱼邮件传播,利用CVE-2021-40444漏洞。专家建议企业采用PTSandbox和PTNAD进行防护。
摘要由CSDN通过智能技术生成


👁 PT 专家安全中心的专家发现了一个新的 Dark River 组织,该组织利用名为 MataDoor 的高科技模块化后门攻击国防工业公司。请阅读我们的最新研究。

我们的专家于 2022 年 10 月在调查一家俄罗斯工业企业的事件时首次遇到这种恶意软件。

🥷该后门的特点是伪装得非常完美:

- 其可执行文件的名称与安装在受感染设备上的合法软件的名称相似;

- 一些样本具有有效的数字签名;

- 恶意软件开发者使用了保护工具,使其更难被检测和分析。

我们的研究人员证实,MataDoor 是通过一封附有 DOCX 文件的网络钓鱼电子邮件进入被入侵系统的。该文件包含一个针对 CVE-2021-40444 漏洞的漏洞利用程序,该程序的特殊性在于,当启用文档编辑模式时,该漏洞就会被激活。

2022 年 8 月至 9 月,俄罗斯国防工业公司也收到过类似的漏洞利用邮件。这表明所有目标攻击的幕后黑手是同一个组织。我们将其命名为 "黑河"(Dark River)--取自某些网络钓鱼文档的 "作者 "字段中指定的 "河 "这个名字。

Positive Technologies 公司信息安全威胁研究部高级专家 Maxim Andreev 强调说: "MataDoor 后门的主要特点是具有复杂的架构。 它是一款精心设计的恶意软件,在传输、隐身和架构方面进行了定制开发。它甚至可以在逻辑隔离的网络中运行,从任何地方提取和传输数据。"

🔐 为保护企业系统免受 MataDoor 后门的入侵,Positive Technologies 专家建议采取积极措施。使用 PT Sandbox 和 PT Network Attack Discovery (PT NAD) 行为网络流量分析系统。

@Positive_Technologies

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值