Эксперты Kaspersky Lab сообщают, что как минимум с весны 2018 года APT-группа Lazarus проводит атаки с использованием продвинутого фреймворка MATA. Его особенность заключается в том, что он может взломать устройство вне зависимости от того, на какой операционной системе оно работает, — Windows, Linux или macOS.

Мультиплатформенные вредоносные инструменты — редкость, так как их разработка требует значительных вложений. Соответственно, они создаются не для разового применения, а для долгосрочного использования. Так, этот фреймворк был замечен в атаках с целью краж баз данных компаний и заражения корпоративных сетей троянцами-шифровальщиками. Он состоит из программы-загрузчика, программы для управления процессами после заражения устройства и плагинов. По данным экспертов, среди жертв MATA есть организации, расположенные в Польше, Германии, Турции, Южной Корее, Японии и Индии, в том числе производитель программного обеспечения, торговая компания и интернет-провайдер. Однако злоумышленники не намерены сосредотачиваться только лишь на этих странах.

Группа Lazarus готова серьёзно вкладываться в разработку инструментов и разыскивает жертв по всему миру. Обычно злоумышленники создают вредоносное ПО под Linux и macOS в том случае, если у них уже достаточно инструментов для атак на Windows-устройства. Такой подход характерен для зрелых APT-групп. Очевидно, что авторы фреймворка MATA будут совершенствовать его и реализуют атаки с закреплением на IoT-устройствах в корпоративной сети.

Чтобы защитить компанию от внедрения мультиплатформенного вредоносного ПО, эксперты советуют компаниям:

• установить на все типы устройств надёжное защитное решение для бизнеса;
• предоставить специалистам SOC-центра возможность получать самые актуальные сведения о киберугрозах, чтобы помочь им держать руку на пульсе и вовремя узнавать о новых инструментах, техниках и тактиках злоумышленников;
• регулярно создавать резервные копии корпоративных данных, чтобы в случае атаки программы-вымогателя оперативно восстановить самую свежую их версию.