По данным «Лаборатории Касперского», как минимум с весны 2018 года APT-группа Lazarus проводит атаки с использованием продвинутого фреймворка MATA. Его особенность заключается в том, что он может взломать устройство вне зависимости от того, на какой операционной системе оно работает, — Windows, Linux или macOS.
Мультиплатформенные вредоносные инструменты — редкость, так как их разработка требует значительных вложений. Соответственно, они создаются не для разового применения, а для долгосрочного использования. Так, этот фреймворк был замечен в атаках с целью краж баз данных компаний и заражения корпоративных сетей троянцами-шифровальщиками. Он состоит из программы-загрузчика, программы для управления процессами после заражения устройства и плагинов. По данным «Лаборатории Касперского», среди жертв MATA есть организации, расположенные в Польше, Германии, Турции, Южной Корее, Японии и Индии, в том числе производитель программного обеспечения, торговая компания и интернет-провайдер. Однако злоумышленники не намерены сосредотачиваться только лишь на этих странах. Так, в этом месяце были обнаружены атаки Lazarus в России, в ходе которых использовался бэкдор Manuscrypt. Этот инструмент имеет пересечения с MATA в логике работы с командным сервером и внутренним именованием компонентов.
«Изучив эту серию атак, мы делаем вывод, что группа Lazarus готова серьёзно вкладываться в разработку инструментов и что она ищет жертв по всему миру. Обычно злоумышленники создают вредоносное ПО под Linux и macOS в том случае, если у них уже достаточно инструментов для атак на Windows-устройства. Такой подход характерен для зрелых APT-групп. Мы полагаем, что авторы фреймворка MATA будут совершенствовать его и реализуют атаки с закреплением на IoT-устройствах в корпоративной сети, и напоминаем организациям о необходимости усилить защиту данных, поскольку информация — по-прежнему ключевой и наиболее ценный ресурс, который чаще всего и является целью подобных атак», — прокомментировал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы защитить компанию от внедрения мультиплатформенного вредоносного ПО, «Лаборатория Касперского» советует компаниям:
- установить на все типы устройств надёжное защитное решение, такое как Kaspersky Endpoint Security для бизнеса Универсальный;
- предоставить специалистам SOC-центра возможность получать самые актуальные сведения о киберугрозах, чтобы помочь им держать руку на пульсе и вовремя узнавать о новых инструментах, техниках и тактиках злоумышленников;
- регулярно создавать резервные копии корпоративных данных, чтобы в случае атаки программы-вымогателя оперативно восстановить самую свежую их версию.