Эксперты «Лаборатории Касперского» обнаружили серию атак северокорейской хак-группы Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) на устройства Windows, Linux и macOS. Выяснилось, что как минимум с весны 2018 года группировка приводила операции с использованием продвинутого фреймворка MATA.

Особенность данного фреймворка заключается в его мультиплатформенности: он может атаковать устройство вне зависимости от того, на какой операционной системе то работает (Windows, Linux или macOS).

Исследователи отмечаю, что мультиплатформенные вредоносные инструменты — редкость, так как их разработка требует значительных вложений. Соответственно, они создаются не для разового применения, а для долгосрочного использования. Так, фреймворк MATA был замечен в атаках, целью которых была кража баз данных компаний и заражения корпоративных сетей шифровальщиками.

MATA состоит из программы-загрузчика, программы для управления процессами после заражения (оркестратора), а также плагинов.

Компоненты Windows-версии MATA

По данным исследователей, среди жертв MATA есть организации, расположенные в Польше, Германии, Турции, Южной Корее, Японии и Индии (в том числе неназванные производитель программного обеспечения, торговая компания и интернет-провайдер).

Однако злоумышленники не намерены сосредотачиваться только лишь на перечисленных странах. Так, в этом месяце были обнаружены атаки Lazarus в России, в ходе которых использовался бэкдор Manuscrypt. Этот инструмент имеет пересечения с MATA в логике работы с командным сервером и внутренним именованием компонентов.

«Изучив эту серию атак, мы делаем вывод, что группа Lazarus готова серьезно вкладываться в разработку инструментов и что она ищет жертв по всему миру. Обычно злоумышленники создают вредоносное ПО под Linux и macOS в том случае, если у них уже достаточно инструментов для атак на Windows-устройства. Такой подход характерен для зрелых APT-групп. Мы полагаем, что авторы фреймворка MATA будут совершенствовать его и реализуют атаки с закреплением на IoT-устройствах в корпоративной сети, и напоминаем организациям о необходимости усилить защиту данных, поскольку информация — по-прежнему ключевой и наиболее ценный ресурс, который чаще всего и является целью подобных атак», — говорит Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Оставить мнение