Hackers norcoreanos detectados usando el nuevo marco de malware multiplataforma

Lazarus Group, el famoso grupo de piratería con vínculos con el régimen norcoreano, ha desatado un nuevo marco de malware multiplataforma con el objetivo de infiltrarse en entidades corporativas de todo el mundo, robar bases de datos de clientes y distribuir ransomware.

Capaz de apuntar a los sistemas operativos Windows, Linux y macOS, el marco de malware MATA, llamado así por la referencia de los autores a la infraestructura como "MataNet", viene con una amplia gama de características diseñadas para llevar a cabo una variedad de actividades maliciosas. en máquinas infectadas.

Se dice que la campaña MATA comenzó a principios de abril de 2018, y que la victimología se remonta a compañías no identificadas en los sectores de desarrollo de software, comercio electrónico y proveedores de servicios de Internet ubicados en Polonia, Alemania, Turquía, Corea, Japón e India, ciberseguridad firmaKaspersky dijo en su análisis del miércoles.



En el último desarrollo, la versión de Windows de MATA consiste en un cargador utilizado para cargar una carga útil cifrada de la siguiente etapa: un módulo orquestador ("lsass.exe") capaz de cargar 15 complementos adicionales al mismo tiempo y ejecutarlos en la memoria.

Los complementos en sí mismos son ricos en características, con características que permiten que el malware manipule archivos y procesos del sistema, inyecte archivos DLL y cree un servidor proxy HTTP.

Los complementos MATA también permiten a los piratas informáticos dirigirse a dispositivos de red sin disco basados ​​en Linux, como enrutadores, firewalls o dispositivos IoT, y sistemas macOS al enmascararse como una aplicación 2FA llamada TinkaOTP, que se basa en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP.

Una vez que se implementaron los complementos, los piratas informáticos intentaron localizar las bases de datos de la empresa comprometida y ejecutar varias consultas de la base de datos para obtener los detalles del cliente. No está claro de inmediato si tuvieron éxito en sus intentos. Además, los investigadores de Kaspersky dijeron que se utilizó MATA para distribuir el ransomware VHD a una víctima anónima.

Kaspersky dijo que vinculó MATA con el Grupo Lazarus basado en el formato de nombre de archivo único que se encuentra en el orquestador ("c_2910.cls" y "k_3872.cls"), que se ha visto anteriormente en varias variantes del malware Manuscrypt .


El Grupo Lazarus patrocinado por el estado (también llamado Hidden Cobra o APT38) se ha relacionado con muchas ofensivas cibernéticas importantes , incluido el pirateo de Sony Pictures en 2014, el pirateo bancario SWIFT en 2016 y la infección por ransomware WannaCry en 2017.

. APT agregó el skimming web a su repertorio, apuntando a los sitios web de comercio electrónico de EE. UU. Y Europa para plantar skimmers de pago basados ​​en JavaScript.

La inclinación del equipo de hackers a llevar a cabo ataques motivados financieramente llevó al Tesoro de los Estados Unidos a sancionar al grupo y sus dos disparos, Bluenoroff y Andariel, en septiembre pasado.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta