Istraživači kompanije Kaspersky otkrili su seriju napada koji koriste napredni malverski okvir, zvani MATA, kako bi targetirali Windows, Linux i macOS operativne sisteme. Okvir se koristi od proleća 2018. godine i dovodi se u vezu sa grupom Lazarus – poznatom APT grupom iz Severne Koreje.

Maliciozni setovi alata korišćeni za targetiranje mnoštva platformi predstavljaju retkost, s obzirom na to da od programera zahtevaju značajna ulaganja. Oni su uglavnom namenjeni za dugoročno korišćenje, što za rezultat ima povećani profit za aktera kroz mnoštvo napada sprovedenih kroz duži vremenski period. U slučajevima koje je otkrila kompanija Kaspersky, MATA okvir je mogao da targetira tri platforme – Windows, Linux i macOS – što ukazuje na to da su napadači planirali da ga iskoriste za višestruke svrhe. Okvir sadrži nekoliko komponenti, kao što su loader, orkestrator (koji nadgleda i koordiniše procese od trenutka kada je uređaj inficiran) i dodaci.

Povezana vest:  SAMSUNG KORNER – aplikacija za kupovinu preko telefona i tableta

Prema istraživačima kompanije Kaspersky, prvi pronađeni artefakti koji su dovedeni u vezu sa MATA okvirom korišćeni su u aprilu 2018. godine ili u nekom bliskom periodu. Od tada, akter koji stoji iza ovog naprednog malverskog okvira preduzeo je agresivan pristup radi infiltriranja u korporativne entitete širom sveta. Malver je korišćen za mnoštvo napada koji su za cilj imali krađu baza podataka korisnika i distribuciju ransomvera – softvera dizajniranog da blokira pristup kompjuterskom sistemu sve dok određena suma novca ne bude isplaćena.

Prema telemetriji kompanije Kaspersky, žrtve koje je MATA okvir inficirao locirane su u Poljskoj, Nemačkoj, Turskoj, Koreji, Japanu i Indiji, što ukazuje na to da akter pretnje nije bio fokusiran na specifičnu teritoriju. Osim toga, Lazarus grupa je kompromitovala sisteme unutar različitih industrija, uključujući kompaniju za razvoj softvera, kompaniju koja se bavi e-trgovinom i internet provajdera.

Istraživači kompanije Kaspersky uspeli su da povežu MATA sa Lazarus grupom, koja je poznata po svojim sofisticiranim operacijama i vezama sa Severnom Korejom, i po sajber špijunaži i finansijski motivisanim napadima. Brojni istraživači, uključujući i istraživače kompanije Kaspersky, prethodno su izvestili o ovoj grupi i njenom targetiranju banaka i ostalih velikih finansijskih preduzeća, uključujući ATMDtrack napad i AppleJeus kampanje. Poslednja serija napada ukazuje na to da akter nastavlja ovu vrstu aktivnosti.

Povezana vest:  LG G Flex2 - sledeći korak u evoluciji zakrivljenih smart telefona

“Ova serija napada ukazuje na to da je Lazarus grupa spremna da uloži značajne resurse u razvijanje ovog seta alata i proširenje pristupa targetiranim organizacijama – naročito kada je reč o lovu na novac i podatke. Osim toga, pisanje malvera za Linux i macOS sisteme često sugeriše da napadač smatra da ima više nego dovoljno alata za Windows platformu, koja je zastupljena na apsolutnoj većini uređaja. Ovaj pristup je tipičan za starije APT grupe,” komentariše Sengsu Park (Seongsu Park), glavni istraživač bezbednosti. “Očekujemo da će se MATA okvir dalje razvijati i savetujemo organizacijama da obrate više pažnje na bezbednost njihovih podataka, koji su i dalje ključni i najvredniji resursi koji mogu biti ugroženi.”

Saznajte više o MATA okviru na Securelist.com.

Povezana vest:  Ponuda ajfona u Srbiji kompletna i sigurna

Kako ne biste postali žrtva multi-platformskog malvera, istraživači kompanije Kaspersky predlažu implementiranje sledećih mera:

  • Instalirajte odgovarajući sajber-bezbednosni proizvod, kao što je Kaspersky Endpoint Security for Business, na svim Windows, Linux i MacOS krajnjim tačkama. Ovo će omogućiti zaštitu od postojećih i novih sajber pretnji i takođe pružiti širok opseg sajber-bezbednosnih kontrola za svaki operativni sistem
  • Svom SOC timu obezbedite pristup najnovijim Informacijama o pretnjama kako biste im pomogli da budu u toku sa svim novim alatima, tehnikama i taktikama koje koriste akteri pretnji
  • Uvek imajte najnovije rezervne kopije poslovnih podataka kojima se brzo može pristupiti, kako biste brzo mogli da povratite podatke koji usled ransomvera mogu biti izgubljeni ili zaključani