Istraživači kompanije Kaspersky otkrili su seriju napada koji koriste napredni malverski okvir, zvani MATA, kako bi targetirali Windows, Linux i macOS operativne sisteme. Okvir se koristi od proleća 2018. godine i dovodi se u vezu sa grupom Lazarus – poznatom APT grupom iz Severne Koreje.
Maliciozni setovi alata korišćeni za targetiranje mnoštva platformi predstavljaju retkost, s obzirom na to da od programera zahtevaju značajna ulaganja. Oni su uglavnom namenjeni za dugoročno korišćenje, što za rezultat ima povećani profit za aktera kroz mnoštvo napada sprovedenih kroz duži vremenski period. U slučajevima koje je otkrila kompanija Kaspersky, MATA okvir je mogao da targetira tri platforme – Windows, Linux i macOS – što ukazuje na to da su napadači planirali da ga iskoriste za višestruke svrhe. Okvir sadrži nekoliko komponenti, kao što su loader, orkestrator (koji nadgleda i koordiniše procese od trenutka kada je uređaj inficiran) i dodaci.
Prema istraživačima kompanije Kaspersky, prvi pronađeni artefakti koji su dovedeni u vezu sa MATA okvirom korišćeni su u aprilu 2018. godine ili u nekom bliskom periodu. Od tada, akter koji stoji iza ovog naprednog malverskog okvira preduzeo je agresivan pristup radi infiltriranja u korporativne entitete širom sveta. Malver je korišćen za mnoštvo napada koji su za cilj imali krađu baza podataka korisnika i distribuciju ransomvera – softvera dizajniranog da blokira pristup kompjuterskom sistemu sve dok određena suma novca ne bude isplaćena.
Prema telemetriji kompanije Kaspersky, žrtve koje je MATA okvir inficirao locirane su u Poljskoj, Nemačkoj, Turskoj, Koreji, Japanu i Indiji, što ukazuje na to da akter pretnje nije bio fokusiran na specifičnu teritoriju. Osim toga, Lazarus grupa je kompromitovala sisteme unutar različitih industrija, uključujući kompaniju za razvoj softvera, kompaniju koja se bavi e-trgovinom i internet provajdera.
Istraživači kompanije Kaspersky uspeli su da povežu MATA sa Lazarus grupom, koja je poznata po svojim sofisticiranim operacijama i vezama sa Severnom Korejom, i po sajber špijunaži i finansijski motivisanim napadima. Brojni istraživači, uključujući i istraživače kompanije Kaspersky, prethodno su izvestili o ovoj grupi i njenom targetiranju banaka i ostalih velikih finansijskih preduzeća, uključujući ATMDtrack napad i AppleJeus kampanje. Poslednja serija napada ukazuje na to da akter nastavlja ovu vrstu aktivnosti.