近日據(jù)外媒報道，與朝鮮政府有聯(lián)系的拉撒路APT黑客集團已使用一種稱為MATA的新型多平臺惡意軟件框架來針對全球?qū)嶓w組織，分發(fā)VHD勒索軟件并竊取了客戶數(shù)據(jù)庫。

據(jù)悉，MATA惡意軟件框架可能針對Windows、Linux和macOS操作系統(tǒng)，其MATA名稱來自黑客用來標(biāo)識其基礎(chǔ)結(jié)構(gòu)的名稱MataNet，它實現(xiàn)了黑客各種入侵功能的廣泛應(yīng)用，使攻擊者可以完全控制受感染的系統(tǒng)。

對此，卡巴斯基的專家首先分析了MATA框架，根據(jù)研究人員的說法，MATA行動至少從2018年4月開始就很活躍。MATA黑客的目標(biāo)是針對軟件開發(fā)、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)等各行各業(yè)的實體，這些公司主要分布在世界各地，包括波蘭、德國、土耳其、韓國、日本和印度。

根據(jù)研究，目前MATA惡意軟件框架擁有幾個組件，如加載器、編配器和插件，這個全面的框架能夠針對Windows、 Linux和macOS操作系統(tǒng)。卡巴斯基發(fā)表的報告指出：“我們發(fā)現(xiàn)的第一批與MATA有關(guān)的人工制品是在2018年4月左右使用的。在那之后，這個高級惡意軟件框架背后的行動者使用它積極滲透到世界各地的公司實體。我們通過遙測技術(shù)確認了幾個受害者，并找出了這個惡意軟件框架的目的。”

MATA三個版本（Windows、Linux和MacOS）的主要信息如下：

對MATA框架的分析同時揭示了與Lazarus APT組的幾個鏈接，例如MATA編排器中使用的兩個唯一文件名c_2910.cls和k_3872.cls，這些文件名以前僅在多個Manuscrypt變體中才能看到。此外，MATA使用全局配置數(shù)據(jù)，包括隨機生成的會話ID，基于日期的版本信息，休眠間隔以及多個C2和C2服務(wù)器地址。

 在過去的幾個月中，安全研究人員還從Netlab 360，Malwarebytes和Jamf中收集了MATA框架的證據(jù)。在12月，來自Netlab 360的研究人員發(fā)現(xiàn)了一個名為Dacls的新遠程訪問木馬（RAT），Lazarus APT小組將其用于Windows和Linux設(shè)備。五月，Malwarebytes研究人員觀察到Mac版本的Dacls通過針對macOS的木馬化兩因素身份驗證應(yīng)用程序發(fā)行，該應(yīng)用程序名為MinaOTP。Windows版本的MATA由用于加載加密的下一階段有效負載的加載器和Orchestrator模塊（“ lsass.exe”）組成。

 最后，在研究報告中，卡巴斯基實驗室將MATA惡意軟件平臺歸因于著名的APT組織Lazarus，他們評估了MATA框架與LazarusAPT組織之間的聯(lián)系。MATA協(xié)調(diào)器使用兩個唯一的文件名c_2910.cls和k_3872.cls，這些文件名以前僅在幾種Manuscrypt變體中才能看到，包括在US-CERT出版物中提到的樣本（0137f688436c468d43b3e50878ec1a1f）。研究人員指出，由Lazarus發(fā)行的惡意軟件家族Manuscrypt的變體與MATA共享了類似的配置結(jié)構(gòu)。這意味著MATA與Lazarus很可能存在直接關(guān)聯(lián)，卡巴斯基實驗室表示，隨著MATA惡意軟件平臺的發(fā)展，它將繼續(xù)對其進行監(jiān)控。

圖文來源：E安全 

原文鏈接：https://www.easyaq.com

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:E安全

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明