近日據(jù)外媒報(bào)道，與朝鮮政府有聯(lián)系的拉撒路APT黑客集團(tuán)已使用一種稱為MATA的新型多平臺(tái)惡意軟件框架來(lái)針對(duì)全球?qū)嶓w組織，分發(fā)VHD勒索軟件并竊取了客戶數(shù)據(jù)庫(kù)。

據(jù)悉，MATA惡意軟件框架可能針對(duì)Windows、Linux和macOS操作系統(tǒng)，其MATA名稱來(lái)自黑客用來(lái)標(biāo)識(shí)其基礎(chǔ)結(jié)構(gòu)的名稱MataNet，它實(shí)現(xiàn)了黑客各種入侵功能的廣泛應(yīng)用，使攻擊者可以完全控制受感染的系統(tǒng)。

對(duì)此，卡巴斯基的專家首先分析了MATA框架，根據(jù)研究人員的說(shuō)法，MATA行動(dòng)至少?gòu)?018年4月開始就很活躍。MATA黑客的目標(biāo)是針對(duì)軟件開發(fā)、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)等各行各業(yè)的實(shí)體，這些公司主要分布在世界各地，包括波蘭、德國(guó)、土耳其、韓國(guó)、日本和印度。

根據(jù)研究，目前MATA惡意軟件框架擁有幾個(gè)組件，如加載器、編配器和插件，這個(gè)全面的框架能夠針對(duì)Windows、 Linux和macOS操作系統(tǒng)。卡巴斯基發(fā)表的報(bào)告指出：“我們發(fā)現(xiàn)的第一批與MATA有關(guān)的人工制品是在2018年4月左右使用的。在那之后，這個(gè)高級(jí)惡意軟件框架背后的行動(dòng)者使用它積極滲透到世界各地的公司實(shí)體。我們通過(guò)遙測(cè)技術(shù)確認(rèn)了幾個(gè)受害者，并找出了這個(gè)惡意軟件框架的目的。”

MATA三個(gè)版本（Windows、Linux和MacOS）的主要信息如下：

對(duì)MATA框架的分析同時(shí)揭示了與Lazarus APT組的幾個(gè)鏈接，例如MATA編排器中使用的兩個(gè)唯一文件名c_2910.cls和k_3872.cls，這些文件名以前僅在多個(gè)Manuscrypt變體中才能看到。此外，MATA使用全局配置數(shù)據(jù)，包括隨機(jī)生成的會(huì)話ID，基于日期的版本信息，休眠間隔以及多個(gè)C2和C2服務(wù)器地址。

 在過(guò)去的幾個(gè)月中，安全研究人員還從Netlab 360，Malwarebytes和Jamf中收集了MATA框架的證據(jù)。在12月，來(lái)自Netlab 360的研究人員發(fā)現(xiàn)了一個(gè)名為Dacls的新遠(yuǎn)程訪問(wèn)木馬（RAT），Lazarus APT小組將其用于Windows和Linux設(shè)備。五月，Malwarebytes研究人員觀察到Mac版本的Dacls通過(guò)針對(duì)macOS的木馬化兩因素身份驗(yàn)證應(yīng)用程序發(fā)行，該應(yīng)用程序名為MinaOTP。Windows版本的MATA由用于加載加密的下一階段有效負(fù)載的加載器和Orchestrator模塊（“ lsass.exe”）組成。

 最后，在研究報(bào)告中，卡巴斯基實(shí)驗(yàn)室將MATA惡意軟件平臺(tái)歸因于著名的APT組織Lazarus，他們?cè)u(píng)估了MATA框架與LazarusAPT組織之間的聯(lián)系。MATA協(xié)調(diào)器使用兩個(gè)唯一的文件名c_2910.cls和k_3872.cls，這些文件名以前僅在幾種Manuscrypt變體中才能看到，包括在US-CERT出版物中提到的樣本（0137f688436c468d43b3e50878ec1a1f）。研究人員指出，由Lazarus發(fā)行的惡意軟件家族Manuscrypt的變體與MATA共享了類似的配置結(jié)構(gòu)。這意味著MATA與Lazarus很可能存在直接關(guān)聯(lián)，卡巴斯基實(shí)驗(yàn)室表示，隨著MATA惡意軟件平臺(tái)的發(fā)展，它將繼續(xù)對(duì)其進(jìn)行監(jiān)控。

圖文來(lái)源：E安全 

原文鏈接：https://www.easyaq.com

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:E安全

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明