Lazarus gruppe, den berygtede hacking gruppe med bånd til den nordkoreanske regering, er efter sigende ved hjælp af en ny multi-platform malware ramme, døbt MATA, at målrette virksomhedernes netværk rundt om i verden. Lazarus gruppe har været aktiv i mange år, de først fået verdensomspændende opmærksomhed for hacking Sony Films i 2014 og derefter for at stå bag 2017 WannaCry ransomware angreb. Men de har været rettet mod lande i meget længere tid end det. Finansielle organisationer i lande som Indien, Mexico, Sydkorea, Vietnam, Chile har været målrettet i fortiden, samt regeringen, medier og teknologi sektorer. Denne MATA malware framework avancerede er det nyeste værktøj Lazarus bruges til at målrette forskellige enheder.
(kilde: Kaspersky.com)
MATA blev for nylig spottet af Kaspersky Lab’s Global Research and Analysis Team, og det ser ud til, at det blev brugt til at angribe virksomheder i lande som Tyskland, Polen, Tyrkiet, Indien, Korea og Japan. Målrettede virksomheder omfatter en softwareudvikling og en e-handel virksomheder, samt en internetudbyder.
“Baseret på vores telemetri, har vi været i stand til at identificere flere ofre, der blev smittet af MATA rammer. Infektionen er ikke begrænset til et bestemt område. Ofrene blev registreret i Polen, Tyskland, Tyrkiet, Korea, Japan og Indien. Desuden, skuespilleren kompromitteret systemer i forskellige brancher, herunder en softwareudvikling selskab, en e-handel selskab og en internetudbyder,” Kaspersky sagde.
MATA malware framework blev brugt i forsøg på at stjæle kundedatabaser
De MATA malware framework har mange funktioner, der kan udføre en række forskellige ondsindede aktiviteter på en inficeret enhed, og kan målrette Windows, Linux, og macOS operativsystemer. Når der udføres et angreb, ondsindede aktører kan bruge MATA til at manipulere filer og systemprocesser, injicere DLLs og skabe HTTP fuldmagter.
Ifølge Kaspersky, der udgav en omfattende om report dette, MATA-relaterede artefakter blev første gang brugt omkring april 2018. Det blev aggressivt brugt til at infiltrere virksomheder over hele verden.
“De første genstande, vi fandt vedrørende MATA, blev brugt omkring april 2018. Efter at, skuespilleren bag denne avancerede malware rammer brugt det aggressivt at infiltrere virksomheder rundt om i verden,” Kaspersky rapport siger.
Mens den fulde hensigter Lazarus kun kan gættes, det er temmelig klart, at en af deres interesser er kundedatabaser. Kaspersky bemærket, at i et tilfælde, hvor MATA og dens plugins blev indsat, de ondsindede aktører, der driver det forsøgte at finde ofrets database og udføre flere database forespørgsler for at stjæle kundelisten, selv om det ikke vides, om de var en succes. Distribuere ransomware kan også være et af dens formål, som det blev brugt til at inficere et offer med VHD ransomware i et bestemt tilfælde.
Kaspersky har knyttet MATA til Lazarus gruppe baseret på unikke orchestrator filnavne, der også blev bemærket i versioner af Manuscrypt trojan, som er kendt for at være et værktøj, der anvendes af nordkoreanske hackere.
“Desuden bruger MATA globale konfigurationsdata, herunder et tilfældigt genereret sessions-id, datobaserede versionsoplysninger, et dvaleinterval og flere C2’er- og C2-serveradresser. Vi har set, at en af de Manuscrypt varianter (ab09f6a249ca88d1a036ee7a02cdd16) deler en lignende konfiguration struktur med MATA rammer,” Kaspersky tilføjet.
Kaspersky forventer, at malware vil udvikle sig i fremtiden.