هکرهای کره شمالی بدافزار چند پلتفرمی را کشف کردند

گروه لازاروس ، گروه بدنام هکری با روابط با کره کره شمالی ، یک چارچوب جدید بدافزار چند پلتفرمی را با هدف نفوذ به نهادهای شرکتی در سراسر جهان ، سرقت بانکهای اطلاعاتی مشتری و توزیع باج افزار آغاز کرده است.

قابلیت هدف قرار دادن سیستم عامل های ویندوز ، لینوکس و MacOS ، چارچوب بدافزار MATA – به اصطلاح به دلیل مراجعه نویسندگان به زیرساخت ها به عنوان “MataNet” – دارای ویژگی های گسترده ای است که برای انجام انواع فعالیت های مخرب در دستگاههای آلوده طراحی شده است.

گفته می شود که کمپین MATA از اوایل آوریل سال ۲۰۱۸ آغاز شده است و قربانی این شرکت در شرکتهای بی نام در بخش های توسعه نرم افزار ، تجارت الکترونیکی و ارائه دهنده خدمات اینترنتی واقع در لهستان ، آلمان ، ترکیه ، کره ، ژاپن و هند و امنیت سایبری ردیابی شده است. شرکت کسپرسکی در تحلیل چهارشنبه خود گفت.

این گزارش نگاهی جامع به چارچوب MATA ارائه می دهد ، ضمن آنکه شواهد قبلی را محققان Netlab 360 ، Jamf و Malwarebytes در طی هشت ماه گذشته جمع آوری کرده است.

در دسامبر گذشته ، Netlab 360 یک برنامه کاملاً کاربردی از راه دور Trojan (RAT) به نام Dacls را هدف قرار داد که هر دو سیستم عامل ویندوز و لینوکس را هدف قرار داده و زیرساخت های کلیدی را با برنامه هایی که توسط گروه Lazarus به اشتراک گذاشته شده بودند ، هدف قرار دادند.

در ماه می ، Jamf و Malwarebytes از یک نوع macOS از Dacls RAT که از طریق برنامه تأیید هویت دو عاملی (۲FA) خراب توزیع شده کشف کردند.

در جدیدترین نسخه ، نسخه ویندوز MATA متشکل از لودری است که برای بارگذاری بارگذاری مرحله بعدی رمزگذاری شده استفاده می شود – یک ماژول ارکستر ساز (“lsass.exe”) که قادر به بارگیری ۱۵ افزونه اضافی در همان زمان و اجرای آنها در حافظه است.

خود این افزونه ها دارای ویژگی های غنی و فریبنده ای هستند که به بدافزارها امکان دستکاری فایل ها و فرایندهای سیستم ، تزریق DLL ها و ایجاد سرور پروکسی HTTP را می دهند.

افزونه های MATA همچنین به هکرها این امکان را می دهد تا دستگاه های شبکه بدون دیسک مبتنی بر لینوکس مانند روتر ، فایروال یا دستگاه های IoT و سیستم های macOS را با استفاده از نقاب به عنوان یک برنامه ۲FA به نام TinkaOTP هدف قرار دهند ، که براساس یک برنامه تأیید هویت دو عاملی منبع باز به نام MinaOTP است.

پس از استقرار این افزونه ها ، هکرها سپس سعی در یافتن بانکهای اطلاعاتی شرکت به خطر افتاده و اجرای چندین نمایش داده از پایگاه داده برای به دست آوردن جزئیات مشتری کردند. بلافاصله مشخص نیست که آیا آنها در تلاش های خود موفق بوده اند یا خیر. علاوه بر این ، محققان کسپرسکی گفتند که از MATA برای توزیع باج افزار VHD به یک قربانی ناشناس استفاده شده است.

کسپرسکی اظهار داشت که این ماده MATA را بر اساس قالب نام فایل منحصر به فرد موجود در ارکستر (“c_2910.cls” و “k_3872.cls”) با گروه Lazarus متصل می کند ، که قبلاً در چندین نوع بدافزار Manuscrypt مشاهده شده است.

گروه Lazarus که تحت حمایت دولت است (همچنین به آن Hidden Cobra یا APT38 نیز گفته می شود) با بسیاری از حملات سایبری بزرگ از جمله هک سونی پیکچرز در سال ۲۰۱۴ ، هک بانکی SWIFT در سال ۲۰۱۶ و آلودگی باج افزار WannaCry در سال ۲۰۱۷ مرتبط شده است.

به تازگی ، APT به وب سایت خود اضافه می کند ، وب سایت های تجارت الکترونیکی ایالات متحده و اروپا را برای کاشت کفگیر پرداخت های مبتنی بر JavaScript هدف قرار می دهد.

منافع خدمه هکری برای انجام حملات با انگیزه مالی باعث شد تا خزانه داری ایالات متحده آمریکا این گروه و دو تیرانداز آن یعنی بلوونورف و آنداریل را در ماه سپتامبر گذشته تحریم کند.