发现朝鲜黑客使用新的多平台恶意软件框架

臭名昭著的黑客组织Lazarus Group与朝鲜政权有联系，该集团发布了一个新的多平台恶意软件框架，目的是渗透到世界各地的企业实体，窃取客户数据库，并分发勒索软件。

MATA恶意软件框架—能够针对Windows、Linux和macOS操作系统；之所以这么说，是因为作者将基础设施称为“MataNet”和#8212；带有一系列功能，旨在在受感染的机器上执行各种恶意活动。

网络安全公司卡巴斯基（Kaspersky）在周三的分析中称，MATA运动据说早在2018年4月就开始了，受害者追踪到波兰、德国、土耳其、韩国、日本和印度的软件开发、电子商务和互联网服务提供商领域的未具名公司。

该报告全面介绍了MATA框架，同时也基于Netlab 360、Jamf和Malwarebytes的研究人员在过去八个月里收集的证据。

去年12月，Netlab 360披露了一个名为Dacls的全功能远程管理特洛伊木马（RAT），其目标是Windows和Linux平台，这些平台与Lazarus Group运营的平台共享关键基础设施。

然后在5月，Jamf和Malwarebytes发现了一种Dacls RAT的macOS变种，该变种通过特洛伊木马化的双因素认证（2FA）应用程序分发。


在最新的开发中，Windows版本的MATA包含一个加载程序，用于加载加密的下一阶段有效载荷—；一个orchestrator模块（“lsass.exe”），能够同时加载15个附加插件并在内存中执行它们。

这些插件本身功能丰富，拥有允许恶意软件操纵文件和系统进程、注入DLL和创建HTTP代理服务器的功能。

MATA插件还允许黑客通过伪装成一个名为TinkaOTP的2FA应用程序，以基于Linux的无盘网络设备（如路由器、防火墙或物联网设备）和macOS系统为目标，该应用程序基于一个名为MinaOTP的开源双因素身份验证应用程序。

一旦这些插件部署完毕，黑客们就试图定位被破坏的公司的数据库，并执行几次数据库查询以获取客户详细信息。目前尚不清楚他们的尝试是否成功。此外，卡巴斯基的研究人员表示，MATA被用来向一名匿名受害者分发VHD勒索软件。

卡巴斯基表示，它根据orchestrator（“c_2910.cls”和“k_3872.cls”）中发现的独特文件名格式，将MATA与Lazarus Group联系起来，此前在Manuscrypt恶意软件的多个变体中都发现了这种格式。


国家赞助的Lazarus集团（也称为隐藏眼镜蛇或APT38）与许多重大网络攻击有关，包括2014年的索尼影业黑客攻击、2016年的SWIFT银行黑客攻击和2017年的WannaCry勒索软件感染。

最近，APT将网络浏览添加到他们的工作中，目标是美国和欧洲的电子商务网站，以植入基于JavaScript的支付浏览器。

黑客团队热衷于进行出于财务动机的攻击，导致美国财政部去年9月对该组织及其两个分支Bluenoroff和Andariel进行了制裁。