Воскресенье, 21 февраля, 23:13
дома безопасность Команда Lazarus: крадет данные, используя вредоносное ПО MATA

Команда Lazarus: крадет данные, используя вредоносное ПО MATA

Недавно была обнаружена вредоносная структура, известная как MATA, которая была связана с хакерской командой Lazarus и с апреля 2018 года использовалась для атак на корпоративные объекты из многих стран для разработки вымогателей и кражи данных.

Среди целевых стран - Польша, ГерманияТурция, Корея, Япония и Индия, по данным исследователей из Глобальной исследовательско-аналитической группы «Лаборатории Касперского» (GReAT).

Lazarus (также идентифицируемый как HIDDEN COBRA Информационным сообществом США и Zinc от Microsoft) использовал MATA для взлома и заражения систем. компании с деятельностью в различных ветвивключая, помимо прочего, компанию-разработчика программного обеспечения, поставщика интернет-услуг и компанию электронная коммерция.

Хотя в отчете Kaspersky не упоминаются мотивы злоумышленников, эти хакеры известны своими финансовыми мотивами, о чем свидетельствуют их кампании - они взломали Sony Films в 2014 году в рамках операции Blockbuster и стояли за глобальной эпидемией вымогателей WannaCry в 2017 году. .

С момента своего первого обнаружения в 2007 году команда Lazarus атакует финансовые учреждения из Индии, Мексика, ХО ПакистанФилиппины, Южная Корея, Тайвань, ТурцияЧили и Вьетнам, а также в области медиа и технологий.

Вредоносный фреймворк MATA

MATA - это модульная структура со многими компонентами, такими как загрузчик, оркестратор и множество надстроек, и может использоваться для заражения систем. Windows, Linux и MacOS.

Во время своих атак злоумышленники могут использовать MATA для загрузки нескольких надстроек к командам, выполняющимся в зараженной системной памяти, манипулирования файлами и процессами, выполнения DLL-инъекций и создания прокси-серверов. HTTP.

Lazarus MATA вредоносное ПО

MATA также позволяют злоумышленникам сканировать новые цели на компьютерах под управлением MacOS и Linux (Маршрутизаторы, межсетевые экраны ή IoT устройства). На платформе macOS MATA также может загрузить модуль plugin_socks, который можно использовать для настройки прокси.

В своем анализе исследователи Касперского обнаружили, что хакеры используют загрузчик вредоносных программ для загрузки зашифрованная полезная нагрузка следующий этап.

 "Мы не уверены, что загруженная полезная нагрузка вредоносная программа который управляет атакой, но почти у всех жертв загрузчик и оркестратор находятся на одном компьютере », - поясняется в отчете.

Как только вредоносная программа MATA полностью развернута, операторы пытаются найти ее базы данных с конфиденциальной информацией клиента или бизнес и выполнять запросы к базе данных для сбора и удаления списков клиентов.

Хотя у следователей не было убедительных доказательств того, что Лазарь действительно мог украсть данные, которые они собрали во время нападкиуничтожение таких баз данных их жертвами, безусловно, является одним из них цели наряду с вымогателями VHD, как видно на примере одной из компаний, которая была взломана.

Исследователи из Qihoo 360 Netlab опубликовали соответствующий анализ компоненты Windows и Linux в MATA Framework (который они назвали Dacls) в декабре 2019 года.

Связь MATA с командой Lazarus

Фреймворк MATA был связан с командой Lazarus APT Касперским на основе уникальных имен файлов "оркестратора", используемых в версиях трояна Manuscrypt (также известного как Volgmer).

Образцы манускрипта были обнародованы Министерством внутренней безопасности (Федеральная служба безопасности) и Федеральным бюро расследований (ФБР) в 2017 году с помощью отчета по анализу вредоносных программ US-CERT.

В отчете «Лаборатории Касперского» также приводятся аналогичные данные глобальной конфигурации, которые MATA использует совместно с Lazarus Trojan Manuscrypt, такие как «случайно сгенерированный идентификатор входа, информация о дате выпуска, период ожидания и несколько адресов серверов C2».

«Фреймворк MATA важен, поскольку он может быть нацелен на многие платформы: Windows, Linux и macOS», - заключает Касперский.

"Кроме того, хакер, стоящий за этой передовой структурой вредоносного ПО, использовал ее как разновидность криминальной атаки на киберпространство кто ворует базы данных клиентов и распространяет программы-вымогатели ».

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Как позвонить по Facetime Audio

Устали от звонков по мобильному телефону низкого качества? Благодаря FaceTime вы можете совершать звонки с высоким разрешением, если используете iPhone, iPad, ...

Как добавить спецэффекты в сообщения Instagram

Знаете ли вы, что мгновенные сообщения в Instagram можно сделать более впечатляющими? Как и любую другую функцию Instagram, вы можете добавить специальные ...

Twitter: приходят голосовые сообщения! Как мы их отправим?

Twitter скоро будет поддерживать голосовые сообщения в приложениях для iOS и Android. Это означает, что вы сможете отправить ...

Как подключить Bluetooth-гарнитуру к Nintendo Switch

На Nintendo Switch есть разъем для наушников. Однако большинство гарнитур беспроводные, поэтому вам понадобится способ их подключения ...

Как скрыть свой номер телефона в Telegram

Если вы хотите создать учетную запись Telegram, вы должны указать свой номер телефона. Таким образом Telegram проверяет ...

Google Ассистент: как удалить записи?

Google Ассистент может сделать вашу повседневную жизнь намного проще. Однако это также связано с некоторыми проблемами конфиденциальности, так как ...

Microsoft: Office 2021 / Office LTSC выйдет во второй половине 2021 года

Microsoft объявила, что в 2021 году выпустит Microsoft Office Long Term Servicing Channel (LTSC) и Office 2021 для ...

Как быстро создавать QR-коды с помощью Bing

Если вам когда-нибудь понадобится создать QR-код, но вы не знаете, как это сделать, у Microsoft есть простой в использовании инструмент, доступный в любой программе ...

Brave: луковые адреса просочились в DNS-трафик

Функция Tor, включенная в веб-браузер Brave, позволяет пользователям получать доступ к темным веб-доменам .onion в пределах ...