北韓駭客Lazarus濫用跨平臺惡意程式框架MATA，散布勒索軟體與竊取資料庫內容

防毒業者卡巴斯基揭露一款名為MATA的惡意軟體框架，與北韓的駭客組織Lazarus有所關連，在波蘭、德國、土耳其、韓國、日本，以及印度等國家都傳出攻擊事件，而受害的公司類型，包含軟體開發公司、電子商務網站，以及網路服務供應商（ISP）等。卡巴斯基指出，這個惡意程式框架，能同時針對Windows、macOS，以及Linux作業系統的電腦發動攻擊，他們看到駭客運用該框架目的，主要是竊取受害企業的資料庫，但也有勒索軟體攻擊的事件傳出。不過，對於具體的受害企業數量，卡巴斯基沒有進一步透露。

至於卡巴斯基何以認為背後的攻擊者是Lazarus？該公司指出，MATA與惡意軟體Manuscrypt（又稱Copperhedge）的變種，具有相同的特徵，而濫用這個惡意軟體家族發動攻擊的駭客組織，就是Lazarus。Manuscrypt鎖定攻擊的目標，是加密貨幣的交易平臺，美國國土安全部（DHS）才在今年5月，公布這個惡意軟體的分析報告，呼籲各界留意他們發動的攻擊，因此，卡巴斯基認為，Lazarus近期的動作算是很頻繁，使得MATA的後續發展也相當值得關注。

卡巴斯基指出，他們在MATA的工作調度器（Orchestrator）程式碼裡，發現呼叫2個CLS檔案（下圖白框處），是Lazarus（亦稱Hidden Cobra）的惡意軟體所獨有。他們拿出先前該組織被揭露、針對加密貨幣交易平臺的攻擊程式Manuscrypt來比對（上圖），指出兩者都有c_2910.cls和k_3872.cls，因此認為濫用MATA的就是Lazarus。

雖然卡巴斯基沒有提及受害規模，但是Lazarus的犯行可說是罄竹難書，包括於2014年入侵索尼影業（Sony Picture）、盜轉孟加拉央行1億美元，以及在2017年散布勒索軟體WannaCry，導致全球各地的發電廠與醫療院所等關鍵基礎設施，接連傳出災情等，我們必須留意MATA可能造成的威脅。

該公司指出，這個框架具備啟動器與工作調度器（Orchestrator），然後可搭配許多的外掛模組使用，工作調度器會從C&C中繼站接收駭客的攻擊指令，來發動進階持續性攻擊（APT）。他們最早於2018年4月看到這款工具出現，並且在今年4月看到鎖定macOS電腦的攻擊，卡巴斯基表示，他們觀察到大多數受害的電腦，都有MATA的啟動器與工作調度器，並且藉由前者載入受到加密保護的負載（Payload），但不確定是否就是上面提及的工作調度器。一旦MATA惡意軟體框架成功進入到企業的環境，攻擊者便會試圖尋找含有重要個資或是商業機密的資料庫，並下達資料庫查詢的指令，然後外洩相關資料清單，至於駭客竊得了那些資料，卡巴斯基沒有說明。

雖然駭客是以竊密為主，但卡巴斯基還是發現其他災情，例如，他們看到其中1個受害企業，同時被植入了VHD勒索軟體。卡巴斯基指出，儘管這個惡意程式框架仍然在發展當中，不過它已經能運用在2種不同型態的攻擊上，也具備支援跨平臺的特性，對3大類型的作業系統電腦都能下手。這個可通用於入侵多種環境的惡意軟體框架，代表駭客也朝向採行一體適用的方向，發展能滲透受害企業的工具，一旦發動攻擊，範圍可能不再局限特定的作業系統，也有可能伴隨2種以上的攻擊模式。