针对多个平台进行攻击的恶意工具集较为罕见,因为它们需要开发人员进行大量投资。它们通常都部署为长期使用,这样就可以随着时间的流逝而发生的多次攻击,为攻击者增加利润。在卡巴斯基发现的案例中,MATA框架能够针对三种平台实施攻击,分别为 Windows、Linux 和 MacOS。这表明,攻击者计划将其用户多种目的。该框架由多个组件组成,例如载入组件、协调组件(该组件管理和协调受感染设备上的进程)和插件。
根据卡巴斯基研究人员的调查。我们发现的首个与 MATA 相关的人工证据在2018年4月左右被使用。之后,这种高级恶意软件架构幕后的网络罪犯积极利用它来入侵全球的企业实体。它被用来进行一些旨在窃取客户数据库和传播勒索软件的攻击。勒索软件是一种能够拦截对计算机系统访问的软件,直到受害者支付一定金额的赎金才会解禁。
根据卡巴斯基的遥测,被 MATA 框架感染的受害者位于波兰、德国、土耳其、韩国、日本和印度,表明该威胁行为者并不是针对特定地区进行攻击。此外,Lazarus 还会对各个行业和领域的系统进行攻击,其中包括软件开发公司、电子商务公司以及互联网服务提供商。
卡巴斯基研究人员将 MATA 与 Lazarus 组织联系了起来。Lazarus组织以其复杂的攻击行动和与朝鲜的联系而闻名,还以网络间谍和金融动机的攻击而闻名。包括卡巴斯基的研究人员在内的一些研究人员此前曾报道过该组织针对银行和其他大型金融企业的攻击,包括ATMDtrack攻击和AppleJeus攻击活动。最新的系列攻击表明,该威胁组织仍在进行这类攻击行动。
“这一系列的攻击表明,Lazarus愿意投入大量资源来开发这个工具集,并扩大其攻击目标组织的范围——特别是在窃取资金和数据方面。此外,为Linux和macOS系统编写恶意软件通常表明,攻击者认为他们在 Windows 平台下的工具已经足够使用,而绝大多数设备都在Windows平台上运行。这种做法通常出现在成熟的 APT 组织中,”高级安全研究员 Seongsu Park 评论说:“我们预计MATA框架能够得到进一步开发,并建议各机构更加关注数据的安全性,因为数据仍然是可能受到影响的关键和最宝贵的资源之一。”
更多有关 MATA 框架的详情,请访问Securelist.com.
为了避免成为多平台恶意软件的受害者,卡巴斯基研究人员建议采取以下措施:
· 在所有 Windows、Linux 和 MacOS 端点上都安装专用的网络安全产品,例如卡巴斯基网络安全解决方案。这将使企业免受现有和新的网络威胁的侵害,并为每个操作系统提供一系列的网络安全控制。
· 为您的 SOC 团队提供对最新的威胁情报访问,帮助他们了解威胁行为者使用的最新工具、技术和策略。
· 对企业数据进行及时备份并确保可以快速访问备份数据,这样就可以在数据遭受勒索软件攻击丢失或被锁定后快速恢复数据。