MataDoor 模块化后门：先发现后解除

👁 PT 专家安全中心的专家发现了一个新的 Dark River 组织，该组织利用名为 MataDoor 的高科技模块化后门攻击国防工业公司。请阅读我们的最新研究。

我们的专家于 2022 年 10 月在调查一家俄罗斯工业企业的事件时首次遇到这种恶意软件。

🥷该后门的特点是伪装得非常完美：

- 其可执行文件的名称与安装在受感染设备上的合法软件的名称相似；

- 一些样本具有有效的数字签名；

- 恶意软件开发者使用了保护工具，使其更难被检测和分析。

我们的研究人员证实，MataDoor 是通过一封附有 DOCX 文件的网络钓鱼电子邮件进入被入侵系统的。该文件包含一个针对 CVE-2021-40444 漏洞的漏洞利用程序，该程序的特殊性在于，当启用文档编辑模式时，该漏洞就会被激活。

2022 年 8 月至 9 月，俄罗斯国防工业公司也收到过类似的漏洞利用邮件。这表明所有目标攻击的幕后黑手是同一个组织。我们将其命名为 "黑河"（Dark River）--取自某些网络钓鱼文档的 "作者 "字段中指定的 "河 "这个名字。

Positive Technologies 公司信息安全威胁研究部高级专家 Maxim Andreev 强调说： "MataDoor 后门的主要特点是具有复杂的架构。 它是一款精心设计的恶意软件，在传输、隐身和架构方面进行了定制开发。它甚至可以在逻辑隔离的网络中运行，从任何地方提取和传输数据。"

🔐 为保护企业系统免受 MataDoor 后门的入侵，Positive Technologies 专家建议采取积极措施。使用 PT Sandbox 和 PT Network Attack Discovery (PT NAD) 行为网络流量分析系统。

@Positive_Technologies