圖片來源: 

卡巴斯基

防毒業者卡巴斯基揭露一款名為MATA的惡意軟體框架,與北韓的駭客組織Lazarus有所關連,在波蘭、德國、土耳其、韓國、日本,以及印度等國家都傳出攻擊事件,而受害的公司類型,包含軟體開發公司、電子商務網站,以及網路服務供應商(ISP)等。卡巴斯基指出,這個惡意程式框架,能同時針對Windows、macOS,以及Linux作業系統的電腦發動攻擊,他們看到駭客運用該框架目的,主要是竊取受害企業的資料庫,但也有勒索軟體攻擊的事件傳出。不過,對於具體的受害企業數量,卡巴斯基沒有進一步透露。

至於卡巴斯基何以認為背後的攻擊者是Lazarus?該公司指出,MATA與惡意軟體Manuscrypt(又稱Copperhedge)的變種,具有相同的特徵,而濫用這個惡意軟體家族發動攻擊的駭客組織,就是Lazarus。Manuscrypt鎖定攻擊的目標,是加密貨幣的交易平臺,美國國土安全部(DHS)才在今年5月,公布這個惡意軟體的分析報告,呼籲各界留意他們發動的攻擊,因此,卡巴斯基認為,Lazarus近期的動作算是很頻繁,使得MATA的後續發展也相當值得關注。

卡巴斯基指出,他們在MATA的工作調度器(Orchestrator)程式碼裡,發現呼叫2個CLS檔案(下圖白框處),是Lazarus(亦稱Hidden Cobra)的惡意軟體所獨有。他們拿出先前該組織被揭露、針對加密貨幣交易平臺的攻擊程式Manuscrypt來比對(上圖),指出兩者都有c_2910.cls和k_3872.cls,因此認為濫用MATA的就是Lazarus。

雖然卡巴斯基沒有提及受害規模,但是Lazarus的犯行可說是罄竹難書,包括於2014年入侵索尼影業(Sony Picture)、盜轉孟加拉央行1億美元,以及在2017年散布勒索軟體WannaCry,導致全球各地的發電廠與醫療院所等關鍵基礎設施,接連傳出災情等,我們必須留意MATA可能造成的威脅。

該公司指出,這個框架具備啟動器與工作調度器(Orchestrator),然後可搭配許多的外掛模組使用,工作調度器會從C&C中繼站接收駭客的攻擊指令,來發動進階持續性攻擊(APT)。他們最早於2018年4月看到這款工具出現,並且在今年4月看到鎖定macOS電腦的攻擊,卡巴斯基表示,他們觀察到大多數受害的電腦,都有MATA的啟動器與工作調度器,並且藉由前者載入受到加密保護的負載(Payload),但不確定是否就是上面提及的工作調度器。一旦MATA惡意軟體框架成功進入到企業的環境,攻擊者便會試圖尋找含有重要個資或是商業機密的資料庫,並下達資料庫查詢的指令,然後外洩相關資料清單,至於駭客竊得了那些資料,卡巴斯基沒有說明。

雖然駭客是以竊密為主,但卡巴斯基還是發現其他災情,例如,他們看到其中1個受害企業,同時被植入了VHD勒索軟體。卡巴斯基指出,儘管這個惡意程式框架仍然在發展當中,不過它已經能運用在2種不同型態的攻擊上,也具備支援跨平臺的特性,對3大類型的作業系統電腦都能下手。這個可通用於入侵多種環境的惡意軟體框架,代表駭客也朝向採行一體適用的方向,發展能滲透受害企業的工具,一旦發動攻擊,範圍可能不再局限特定的作業系統,也有可能伴隨2種以上的攻擊模式。


Advertisement

更多 iThome相關內容