[27/07/2020] Los investigadores de Kaspersky han descubierto una serie de ataques que utilizan un marco avanzado de malware, llamado MATA, para dirigirse a los sistemas operativos Windows, Linux y MacOS. En uso desde la primavera del 2018, el marco está vinculado a Lazarus -un conocido y prolífico grupo norcoreano de APT.
"Los conjuntos de herramientas maliciosas utilizados para atacar múltiples plataformas son una raza rara, ya que requieren una inversión significativa por parte del desarrollador. A menudo se despliegan para un uso a largo plazo, lo que redunda en un aumento de los beneficios para el agente gracias a los numerosos ataques distribuidos a lo largo del tiempo. En los casos descubiertos por Kaspersky, el marco de MATA fue capaz de dirigirse a tres plataformas -Windows, Linux y MacOS- lo que indica que los atacantes planeaban utilizarlo para múltiples propósitos. El marco consta de varios componentes, como un cargador, un orquestador (que gestiona y coordina los procesos una vez infectado el dispositivo) y plugins”, comentó Seongsu Park, investigador principal de seguridad.
Según el ejecutivo, los primeros artefactos encontrados relacionados con MATA se utilizaron en abril del 2018 o alrededor de esa fecha. Desde entonces, el actor que está detrás de este avanzado marco de malware ha adoptado un enfoque agresivo para infiltrarse en entidades corporativas de todo el mundo. Se utilizó para una serie de ataques dirigidos a robar bases de datos de clientes y distribuir programas de rescate - software diseñado para bloquear el acceso a un sistema informático hasta que se pague una suma de dinero.
"Según la telemetría de Kaspersky, las víctimas infectadas por el marco MATA se encontraban en Polonia, Alemania, Turquía, Corea, Japón y la India, lo que indica que el agente de la amenaza no se centraba en un territorio específico. Además, Lazarus comprometió sistemas de varias industrias, entre ellas una empresa de desarrollo de programas informáticos, una empresa de comercio electrónico y un proveedor de servicios de Internet”, anotó Park.
Agregó que los investigadores de Kaspersky pudieron vincular a MATA con el grupo Lazarus, conocido por sus sofisticadas operaciones y vínculos con Corea del Norte, y por el ciberespionaje y los ataques por motivos financieros. Varios investigadores, incluidos los de Kaspersky, informaron anteriormente sobre este grupo que tiene como objetivo los bancos y otras grandes empresas financieras, incluido el ataque ATMDtrack y las campañas AppleJeus. Esta última serie de ataques sugiere que el actor continúa con este tipo de actividad.
"Esta serie de ataques indica que Lazarus estaba dispuesto a invertir importantes recursos para desarrollar este conjunto de herramientas y ampliar el alcance de las organizaciones a las que se dirigía, en particular en la búsqueda de dinero y datos. Además, la escritura de malware para sistemas Linux y MacOS a menudo indica que el atacante siente que tiene herramientas más que suficientes para la plataforma Windows, en la que se ejecuta la abrumadora mayoría de los dispositivos. Este enfoque se encuentra típicamente entre los grupos de APT maduros. Creemos que el marco de MATA se desarrollará aún más y aconsejamos a las organizaciones que presten más atención a la seguridad de sus datos, ya que sigue siendo uno de los recursos clave y más valiosos que podría verse afectado", indicó Park.
Para evitar ser víctima de malware multiplataforma, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Instalar un producto de ciberseguridad dedicado en todos los puntos finales de Windows, Linux y MacOS. Esto permitirá la protección contra las ciberamenazas existentes y nuevas y también proporciona una gama de controles de seguridad cibernética para cada sistema operativo
- Proporcione a su equipo SOC acceso a la última Inteligencia de Amenazas para ayudarles a estar al día con cualquier herramienta, técnica y táctica nueva y emergente utilizada por los actores de la amenaza.
- Tenga siempre copias de seguridad recientes de los datos de la empresa a las que se pueda acceder rápidamente, para poder recuperar urgentemente los datos que se puedan perder o bloquear debido al rescate.
CIO, Perú