По сообщению «Лаборатории Касперского», APT-группа Lazarus как минимум с весны 2018 г. проводит атаки с использованием продвинутого фреймворка MATA. Его особенность заключается в том, что он может взломать устройство вне зависимости от того, на какой ОС оно работает, – Windows, Linux или macOS.

Как поясняют эксперты, мультиплатформенные вредоносные инструменты встречаются редко, так как их разработка требует значительных вложений. Соответственно, они создаются для долгосрочного использования. Так, фреймворк MATA был замечен в атаках с целью краж баз данных компаний и заражения корпоративных сетей троянцами-шифровальщиками. Он состоит из программы-загрузчика, программы для управления процессами после заражения устройства и плагинов. По данным «Лаборатории Касперского», среди жертв MATA есть организации из Польши, Германии, Турции, Южной Кореи, Японии и Индии, в их числе производитель ПО, торговая компания и интернет-провайдер. Кроме того, недавно были обнаружены атаки Lazarus в России, в ходе которых использовался бэкдор Manuscrypt. Этот инструмент имеет пересечения с MATA в логике работы с командным сервером и внутренним именованием компонентов.

Как считают в «Лаборатории Касперского», группа Lazarus готова серьезно вкладываться в разработку инструментов и ищет жертв по всему миру. Как поясняют эксперты, злоумышленники создают вредоносное ПО под Linux и macOS в том случае, если у них уже достаточно инструментов для атак на Windows-устройства, такой подход характерен для зрелых APT-групп. Предполагается, что авторы фреймворка MATA будут совершенствовать его и реализуют атаки с закреплением на IoT-устройствах в корпоративной сети.