E安全7月27日讯,近日据外媒报道,与朝鲜政府有联系的拉撒路APT黑客集团已使用一种称为MATA的新型多平台恶意软件框架来针对全球实体组织,分发VHD勒索软件并窃取了客户数据库。

据悉,MATA恶意软件框架可能针对Windows、Linux和macOS操作系统,其MATA名称来自黑客用来标识其基础结构的名称MataNet,它实现了黑客各种入侵功能的广泛应用,使攻击者可以完全控制受感染的系统。

对此,卡巴斯基的专家首先分析了MATA框架,根据研究人员的说法,MATA行动至少从2018年4月开始就很活跃。MATA黑客的目标是针对软件开发、电子商务和互联网服务等各行各业的实体,这些公司主要分布在世界各地,包括波兰、德国、土耳其、韩国、日本和印度。

 

根据研究,目前MATA恶意软件框架拥有几个组件,如加载器、编配器和插件,这个全面的框架能够针对Windows、 Linux和macOS操作系统。卡巴斯基发表的报告指出:“我们发现的第一批与MATA有关的人工制品是在2018年4月左右使用的。在那之后,这个高级恶意软件框架背后的行动者使用它积极渗透到世界各地的公司实体。我们通过遥测技术确认了几个受害者,并找出了这个恶意软件框架的目的。” 
MATA三个版本(Windows、Linux和MacOS)的主要信息如下:

 

对MATA框架的分析同时揭示了与Lazarus APT组的几个链接,例如MATA编排器中使用的两个唯一文件名c_2910.cls和k_3872.cls,这些文件名以前仅在多个Manuscrypt变体中才能看到。此外,MATA使用全局配置数据,包括随机生成的会话ID,基于日期的版本信息,休眠间隔以及多个C2和C2服务器地址。

在过去的几个月中,安全研究人员还从Netlab 360,Malwarebytes和Jamf中收集了MATA框架的证据。在12月,来自Netlab 360的研究人员发现了一个名为Dacls的新远程访问木马(RAT),Lazarus APT小组将其用于Windows和Linux设备。五月,Malwarebytes研究人员观察到Mac版本的Dacls通过针对macOS的木马化两因素身份验证应用程序发行,该应用程序名为MinaOTP。Windows版本的MATA由用于加载加密的下一阶段有效负载的加载器和Orchestrator模块(“ lsass.exe”)组成。

最后,在研究报告中,卡巴斯基实验室将MATA恶意软件平台归因于著名的APT组织Lazarus,他们评估了MATA框架与LazarusAPT组织之间的联系。MATA协调器使用两个唯一的文件名c_2910.cls和k_3872.cls,这些文件名以前仅在几种Manuscrypt变体中才能看到,包括在US-CERT出版物中提到的样本(0137f688436c468d43b3e50878ec1a1f)。研究人员指出,由Lazarus发行的恶意软件家族Manuscrypt的变体与MATA共享了类似的配置结构。这意味着MATA与Lazarus很可能存在直接关联,卡巴斯基实验室表示,随着MATA恶意软件平台的发展,它将继续对其进行监控。

文章来源啊:E安全

文章原文链接:https://www.anquanke.com/post/id/211778