Как минимум с весны 2018 года APT-группа Lazarus проводит атаки с использованием продвинутого фреймворка MATA. Его особенность заключается в том, что он может взломать устройство вне зависимости от того, на какой операционной системе оно работает - Windows, Linux или macOS.
Как сообщает "Лабораторию Касперского", мультиплатформенные вредоносные инструменты - редкость, так как их разработка требует значительных вложений.
Соответственно, они создаются не для разового применения, а для долгосрочного использования. Так, этот фреймворк был замечен в атаках с целью краж баз данных компаний и заражения корпоративных сетей троянцами-шифровальщиками. Он состоит из программы-загрузчика, программы для управления процессами после заражения устройства и плагинов. По данным "Лаборатории Касперского", среди жертв MATA есть организации, расположенные в Польше, Германии, Турции, Южной Корее, Японии и Индии, в том числе производитель программного обеспечения, торговая компания и интернет-провайдер. Однако злоумышленники не намерены сосредотачиваться только лишь на этих странах. Так, в этом месяце были обнаружены атаки Lazarus в России, в ходе которых использовался бэкдор Manuscrypt. Этот инструмент имеет пересечения с MATA в логике работы с командным сервером и внутренним именованием компонентов.
"Изучив эту серию атак, мы делаем вывод, что группа Lazarus готова серьёзно вкладываться в разработку инструментов и что она ищет жертв по всему миру. Обычно злоумышленники создают вредоносное ПО под Linux и macOS в том случае, если у них уже достаточно инструментов для атак на Windows-устройства. Такой подход характерен для зрелых APT-групп. Мы полагаем, что авторы фреймворка MATA будут совершенствовать его и реализуют атаки с закреплением на IoT-устройствах в корпоративной сети, и напоминаем организациям о необходимости усилить защиту данных, поскольку информация - по-прежнему ключевой и наиболее ценный ресурс, который чаще всего и является целью подобных атак", - говорит Юрий Наместников, руководитель российского исследовательского центра "Лаборатории Касперского".
Чтобы защитить компанию от внедрения мультиплатформенного вредоносного ПО, "Лаборатория Касперского" советует компаниям:
· установить на все типы устройств надёжное защитное решение, такое как Kaspersky Endpoint Security для бизнеса Универсальный;
· предоставить специалистам SOC-центра возможность получать самые актуальные сведения о киберугрозах, чтобы помочь им держать руку на пульсе и вовремя узнавать о новых инструментах, техниках и тактиках злоумышленников;
· регулярно создавать резервные копии корпоративных данных, чтобы в случае атаки программы-вымогателя оперативно восстановить самую свежую их версию.
Узнать больше о фреймворке MATA можно по ссылке https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/.