与北朝鲜政权有联系的臭名昭著的黑客组织Lazarus Group发布了一个新的多平台恶意软件框架,旨在渗透全球的企业实体,窃取客户数据库并分发勒索软件。
MATA恶意软件框架能够针对Windows,Linux和macOS操作系统,之所以被称为是因为作者将基础架构称为“ MataNet”,因此具有旨在执行各种恶意活动的广泛功能。在受感染的计算机上。
据说MATA运动早在2018年4月就开始了,其受害情况可追溯到位于波兰,德国,土耳其,韩国,日本和印度的软件开发,电子商务和互联网服务提供商领域的未知名公司,网络安全公司卡巴斯基在周三的分析中表示。
该报告对MATA框架进行了全面研究,同时还基于过去8个月中Netlab 360,Jamf和Malwarebytes的研究人员收集的先前证据。
去年12月,Netlab 360披露了一个名为Dacls的功能齐全的远程管理木马(RAT),该木马同时针对Windows和Linux平台,这些平台与Lazarus Group运营的关键基础设施共享。
然后在5月,Jalf和Malwarebytes发现了dacls RAT的macOS变体,该变体是通过特洛伊木马二因子认证(2FA)应用程序分发的。
在最新开发中,Windows版的MATA包含一个用于加载加密的下一阶段有效负载的加载器-一个协调器模块(“ lsass.exe”),该模块能够同时加载15个其他插件并在内存中执行它们。
插件本身具有丰富的功能,拥有可让恶意软件操纵文件和系统进程,注入DLL以及创建HTTP代理服务器的功能。
MATA插件还允许黑客通过伪装成名为TinkaOTP的2FA应用程序来定位基于Linux的无盘网络设备,如路由器,防火墙或IoT设备以及macOS系统,该应用程序基于名为MinaOTP的开源两因素身份验证应用程序。
一旦部署了插件,黑客便试图找到受感染公司的数据库并执行几个数据库查询以获取客户详细信息。目前尚不清楚他们的尝试是否成功。此外,卡巴斯基的研究人员说,MATA被用来向一名匿名受害者分发VHD勒索软件。
卡巴斯基表示,它根据编排器中的唯一文件名格式(“ c_2910.cls”和“ k_3872.cls”)将MATA链接到Lazarus Group,该格式以前曾在Manuscrypt恶意软件的多种变体中看到过。
国家支持的拉撒路组(也称为隐藏眼镜蛇或APT38)已链接到许多重大网络攻势,包括索尼影业黑客在2014年,在2016年的SWIFT银行黑客和WannaCry勒索感染在2017年
最近, APT 在其目录中增加了网络浏览功能,目标是美国和欧洲的电子商务网站,以种植基于JavaScript的付款浏览器。
黑客团队出于进行出于经济动机的攻击的偏好,导致美国财政部去年9月批准了该组织及其两个分支分支Bluenoroff和Andariel。