信息来源:Updated MATA attacks industrial companies in Eastern Europe | Securelist (2023年10月18日)
一、事件概述:一场始于工厂、终结于“安全中枢”的数字入侵
2022年9月,卡巴斯基安全团队在分析东欧地区工业企业的遥测数据时,发现了一组新型恶意软件样本,它们均归属于一个名为“MATA”的长期活跃APT组织。这次攻击始于2022年8月中旬,持续至2023年5月,目标锁定在能源(油气)与国防工业的十余家大型企业。
与以往APT攻击不同,此次行动的真正恐怖之处在于其攻击路径的逆向性:攻击者并未直接瞄准核心系统,而是从一个边缘工厂的普通员工入手,通过层层渗透,最终攻陷了企业的“数字心脏”——安全管理系统控制台。他们利用这些本应“守护安全”的平台,反过来向全集团子公司批量投放恶意软件,甚至将攻击范围扩展至Linux服务器,实现了对整个工业生态的“自上而下”式控制。
更令人震惊的是,攻击者还部署了USB摆渡模块,专门用于渗透物理隔离的“空气隙”(Air-Gapped)网络。这表明其最终目标极可能是获取最核心的工业设计图纸、控制系统参数或军事技术资料。
二、攻击路径:从钓鱼邮件到安全中枢的“六步夺权”
1. 初始入口:利用旧漏洞的精准鱼叉邮件
攻击始于一封精心构造的钓鱼邮件,附件为一份看似普通的行业报告或采购合同。文档中嵌入了一个外部链接,指向一个托管了CVE-2021-26411漏洞利用代码的网页。该漏洞存在于Internet Explorer的MSHTML引擎中,允许远程执行代码。
当受害者使用IE或基于IE内核的应用打开链接后,漏洞被触发,下载并执行第一阶段载荷。值得注意的是,攻击者在整个9月持续发送此类邮件,说明其具备长期运营能力。
2. 漏洞利用:CVE-2021-26411 实现初始立足
CVE-2021-26411是一个内存破坏漏洞,攻击者通过精心构造的HTML和CSS代码,诱导MSHTML在解析时发生释放后重用(Use-After-Free),从而控制程序流。尽管该漏洞已在2021年4月被微软修复,但在工业环境中,大量老旧系统仍在运行未打补丁的IE,成为理想的突破口。
3. 感染链演进:多代MATA木马协同作战
攻击成功后,部署以下组件:
第一阶段:下载器/加载器
负责从C2服务器获取主木马,并验证受害者身份,确保只对特定目标激活。第二阶段:MATA主框架(Windows)
包括三代新版本:MATA Gen.3:在原有基础上增强反分析能力;
MataDoor(Gen.4):完全重写,模块化程度更高;
MATA Gen.5:再次重构,支持更复杂的代理链通信。
第三阶段:Linux版MATA Gen.3
首次确认该组织具备跨平台攻击能力,且与Windows版本功能高度一致,疑似共用同一代码库。第四阶段:专用窃密模块(Stealer)
根据任务需求动态加载,包括:屏幕截图工具;
浏览器凭证窃取器(支持Chrome、Firefox等);
Cookie提取器。
第五阶段:权限提升与绕过工具
使用CallbackHell(CVE-2021-40449)漏洞或**BYOD(自带易损驱动)**技术,绕过EDR等终端防护产品。第六阶段:USB摆渡模块
专为穿透“空气隙”网络设计,通过U盘在隔离网络间传递指令与数据。
三、核心组件:模块化框架与“安全中枢”接管术
1. MATA主框架:跨平台远程控制中枢
其设计思想高度工程化,体现出攻击者对大规模网络管理的深刻理解。
2. Linux MATA Gen.3:突破工业系统的“最后防线”
工业控制系统(ICS)中大量使用Linux服务器,传统攻击往往难以触及。此次发现的Linux版本MATA具备以下能力:
进程隐藏、端口监听;
文件窃取、命令执行;
自动更新机制;
通过安全管理系统远程部署。
这标志着APT组织已具备全面渗透现代工业混合IT环境的能力。
3. USB传播模块:专为空气隙网络设计的“数字跳线”
该模块功能极为特殊:
写入模式:当U盘插入受感染的联网主机时,模块将加密的攻击指令写入特定文件;
读取模式:当同一U盘插入空气隙网络中的主机时,恶意软件读取指令并执行;
回传机制:收集到的敏感数据同样通过U盘带回联网区域,实现双向通信。
这是典型的“Stuxnet式”攻击逻辑,专门用于窃取最机密的工业资产。
4. EDR绕过工具:CallbackHell与BYOD
这两种技术组合使用,确保即使在部署了高级EDR的企业中也能长期潜伏。
四、攻击目标与归因分析
✅ 受害者画像:
地理位置:东欧多国,包括乌克兰、波兰、罗马尼亚等;
行业分布:油气公司、国防承包商、军工研究机构;
系统环境:混合IT架构,包含Windows工作站、Linux服务器、老旧IE应用、空气隙网络。
🔍 攻击动机推测:
以国家级技术窃取为核心目标。攻击者最终控制了企业的安全管理系统,表明其意图不仅是获取数据,更是要完全掌控企业的数字命脉,为长期间谍活动或未来破坏行动铺路。
🔎 归因线索:
TTPs一致性:MATA组织自2018年起活跃,历史攻击均针对东欧、中亚企业,手法高度一致;
基础设施关联:C2服务器IP与过往MATA活动存在重叠;
开发风格相似:代码结构、加密方式、模块命名习惯保持连贯;
MITRE ATT&CK映射:涵盖T1547(持久化)、T1055(进程注入)、T1071(C2通信)等典型APT行为。
尽管尚无直接证据指向具体国家,但结合地缘利益与攻击目标,安全界普遍认为该组织与俄罗斯背景的国家级黑客团体存在关联。
五、技术演进与战术升级
相比早期MATA攻击,本次行动展现出三大战略跃迁:
从“终端渗透”到“中枢接管”
攻击者不再满足于控制单个主机,而是夺取企业的“安全指挥中心”,实现“以彼之道,还施彼身”。从“单平台”到“跨平台”
首次确认部署Linux版本MATA,表明其已具备完整的跨平台攻击能力。从“网络渗透”到“物理突破”
USB摆渡模块的出现,意味着攻击者有能力穿透最严密的物理隔离防线。
此外,攻击者展现出极强的网络测绘与权限利用能力,能精准定位域控制器、终端服务器、安全管理系统等高价值节点,体现出高度的职业化水平。
六、防御建议
✅ 企业应采取的措施:
✅ 个人用户建议:
不随意打开来源不明的文档链接;
避免在工作设备上使用个人U盘;
发现系统异常(如无缘无故重启、性能下降)及时上报。
七、趋势洞察
此次MATA攻击揭示了APT威胁的几个关键演变:
攻击目标“中枢化”:未来攻击将更多针对企业的“控制中枢”——如身份系统、安全平台、配置管理工具;
跨平台攻击常态化:Windows、Linux、macOS、嵌入式系统均需纳入统一防护视野;
物理隔离不再绝对安全:USB、打印机、维护接口等“侧信道”成为新突破口;
攻击者具备“红队思维”:他们像专业渗透测试人员一样,系统性地寻找权限提升、横向移动、持久化的机会;
工业系统成高价值目标:随着“工业4.0”推进,能源、制造、交通等关键基础设施面临前所未有的网络威胁。
八、结语
MATA组织的这次攻击,不是一次简单的数据窃取,而是一场精心策划的“数字政变”。它告诉我们:在现代企业中,最危险的敌人,往往不是来自外部,而是已经潜伏在你的“安全系统”内部,正用你赋予它的权力,一点一点地接管整个王国。
面对如此高阶的对手,企业必须从“边界防御”转向“零信任架构”,从“被动响应”转向“主动狩猎”。唯有如此,才能在这场看不见硝烟的战争中,守住自己的数字主权。