Недавно была обнаружена вредоносная структура, известная как MATA, которая была связана с хакерской командой Lazarus и с апреля 2018 года использовалась для атак на корпоративные объекты из многих стран для разработки вымогателей и кражи данных.
Среди целевых стран - Польша, ГерманияТурция, Корея, Япония и Индия, по данным исследователей из Глобальной исследовательско-аналитической группы «Лаборатории Касперского» (GReAT).
Lazarus (также идентифицируемый как HIDDEN COBRA Информационным сообществом США и Zinc от Microsoft) использовал MATA для взлома и заражения систем. компании с деятельностью в различных ветвивключая, помимо прочего, компанию-разработчика программного обеспечения, поставщика интернет-услуг и компанию электронная коммерция.
Хотя в отчете Kaspersky не упоминаются мотивы злоумышленников, эти хакеры известны своими финансовыми мотивами, о чем свидетельствуют их кампании - они взломали Sony Films в 2014 году в рамках операции Blockbuster и стояли за глобальной эпидемией вымогателей WannaCry в 2017 году. .
С момента своего первого обнаружения в 2007 году команда Lazarus атакует финансовые учреждения из Индии, Мексика, ХО ПакистанФилиппины, Южная Корея, Тайвань, ТурцияЧили и Вьетнам, а также в области медиа и технологий.
Вредоносный фреймворк MATA
MATA - это модульная структура со многими компонентами, такими как загрузчик, оркестратор и множество надстроек, и может использоваться для заражения систем. Windows, Linux и MacOS.
Во время своих атак злоумышленники могут использовать MATA для загрузки нескольких надстроек к командам, выполняющимся в зараженной системной памяти, манипулирования файлами и процессами, выполнения DLL-инъекций и создания прокси-серверов. HTTP.
MATA также позволяют злоумышленникам сканировать новые цели на компьютерах под управлением MacOS и Linux (Маршрутизаторы, межсетевые экраны ή IoT устройства). На платформе macOS MATA также может загрузить модуль plugin_socks, который можно использовать для настройки прокси.
В своем анализе исследователи Касперского обнаружили, что хакеры используют загрузчик вредоносных программ для загрузки зашифрованная полезная нагрузка следующий этап.
"Мы не уверены, что загруженная полезная нагрузка вредоносная программа который управляет атакой, но почти у всех жертв загрузчик и оркестратор находятся на одном компьютере », - поясняется в отчете.
Как только вредоносная программа MATA полностью развернута, операторы пытаются найти ее базы данных с конфиденциальной информацией клиента или бизнес и выполнять запросы к базе данных для сбора и удаления списков клиентов.
Хотя у следователей не было убедительных доказательств того, что Лазарь действительно мог украсть данные, которые они собрали во время нападкиуничтожение таких баз данных их жертвами, безусловно, является одним из них цели наряду с вымогателями VHD, как видно на примере одной из компаний, которая была взломана.
Исследователи из Qihoo 360 Netlab опубликовали соответствующий анализ компоненты Windows и Linux в MATA Framework (который они назвали Dacls) в декабре 2019 года.
Связь MATA с командой Lazarus
Фреймворк MATA был связан с командой Lazarus APT Касперским на основе уникальных имен файлов "оркестратора", используемых в версиях трояна Manuscrypt (также известного как Volgmer).
Образцы манускрипта были обнародованы Министерством внутренней безопасности (Федеральная служба безопасности) и Федеральным бюро расследований (ФБР) в 2017 году с помощью отчета по анализу вредоносных программ US-CERT.
В отчете «Лаборатории Касперского» также приводятся аналогичные данные глобальной конфигурации, которые MATA использует совместно с Lazarus Trojan Manuscrypt, такие как «случайно сгенерированный идентификатор входа, информация о дате выпуска, период ожидания и несколько адресов серверов C2».
«Фреймворк MATA важен, поскольку он может быть нацелен на многие платформы: Windows, Linux и macOS», - заключает Касперский.
"Кроме того, хакер, стоящий за этой передовой структурой вредоносного ПО, использовал ее как разновидность криминальной атаки на киберпространство кто ворует базы данных клиентов и распространяет программы-вымогатели ».
Greek
Chinese (Simplified)
English
Greek
Russian