MATA-Framework: Lazarus auch in Deutschland aktiv

APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

[datensicherheit.de, 23.07.2020] Nach eigenen Angaben haben kaspersky-Forscher eine Reihe von Angriffen aufgedeckt, welche das fortschrittliche Malware-Framework „MATA“ gegen die Betriebssysteme „Windows“, „Linux“ und „MacOS“ einsetzen. Dieses Framework sei bereits seit dem Frühjahr 2018 im Einsatz und werde der berüchtigten nordkoreanischen APT-Gruppe „Lazarus“ zugeschrieben. Unter den Opfern sind demnach auch deutsche Organisationen.

Abbildung: kaspersky

kaspersky-Analyse: Opfer des Lazarus-MATA-Frameworks

MATA-Framework nimmt Betriebssysteme Windows, Linux und MacOS ins Visier

Schädliche, auf mehrere Plattformen abzielende Toolsets seien eher selten, da deren Entwicklung hohe Investitionen erforderten. Sie würden oft für den langfristigen Einsatz genutzt, was durch zahlreiche, über die Zeit verteilte Angriffe zu einem erhöhten Gewinn für den Bedrohungsakteur führe.
In den von kaspersky entdeckten Fällen sei das „MATA“-Framework in der Lage, die drei Betriebssysteme „Windows“, „Linux“ und „MacOS“ ins Visier zu nehmen. Das deutet laut kaspersky darauf hin, „dass die Angreifer es für vielfältige Zwecke einsetzen wollten“. Dieses Framework bestehe aus mehreren Komponenten, wie etwa einem Loader, einem Orchestrator (zur Verwaltung und Koordinierung der Prozesse infizierter Geräte) sowie Plugins.
Laut kaspersky-Experten wurden die ersten Artefakte, die im Zusammenhang mit „MATA“ gefunden wurden, etwa im April 2018 verwendet. Seitdem setzten die Hintermänner des Malware-Frameworks dieses aggressiv für eine Reihe von Angriffen gegen Unternehmen weltweit ein, um Kundendatenbanken zu stehlen und Ransomware zu verbreiten.

Auch in Deutschland: MATA adressiert Opfer weltweit

Laut Daten der kaspersky-Telemetrie befanden sich die „vom ,MATA‘-Framework infizierten Opfer in Deutschland, Polen, der Türkei, Korea, Japan und Indien“. Der Bedrohungsakteur scheine sich nicht auf ein bestimmtes Gebiet zu konzentrieren. „Lazarus“ habe Systeme in verschiedenen Branchen kompromittiert, darunter ein Softwareentwicklungsunternehmen, eine E-Commerce-Firma und einen Internet-Service-Provider.
kaspersky-Forscher konnten „MATA“ demnach mit der „Lazarus“-Gruppe in Verbindung bringen, „die für ihre komplexen Operationen und Verbindungen nach Nordkorea sowie für Cyber-Spionage und finanziell motivierte Angriffe bekannt ist“. Eine Reihe von Forschern, darunter auch die von kaspersky, hättenen bereits früher über diese Gruppe berichtet, die auf Banken und andere große Finanzunternehmen abgezielt habe, einschließlich des „ATMDtrack“-Angriffs und der „AppleJeus“-Kampagne. Die jüngste Serie von Angriffen deute darauf hin, „dass der Akteur diese Art von Aktivität beibehält“.
„Diese Serie von Angriffen zeigt, dass ,Lazarus‘ bereit war, beträchtliche Ressourcen in die Entwicklung des Instrumentariums und in die Erweiterung der Reichweite anvisierter Organisationen zu investieren – um insbesondere die Jagd nach Geld und Daten verstärkt fortzusetzen“, erläutert Seongsu Park, Sicherheitsforscher bei kaspersky. Darüber hinaus deute die Entwicklung von Malware für „Linux“- und „MacOS“-Systeme häufig darauf hin, „dass der Angreifer das Gefühl hat, mehr als genug Tools gegen die ,Windows‘-Plattform zu besitzen, auf der die große Mehrheit der Geräte läuft“. Dieser Ansatz sei typisch für erfahrene APT-Gruppen. Park erwartet, „dass das ,MATA‘-Framework noch weiterentwickelt wird, und raten Organisationen, der Sicherheit ihrer Daten noch mehr Aufmerksamkeit zu schenken, da diese nach wie vor eine der wichtigsten und wertvollsten Ressourcen darstellen, die von solchen Attacken betroffen sein könnten“.

kaspersky-Tipps zum Schutz vor MATA-Angriffen (Multi-Plattform-Malware):

• Installation einer dedizierten Sicherheitslösung (wie z.B. „Kaspersky Endpoint Security for Business“ auf allen „Windows“-, „Linux“- und „MacOS“-Endpunkten. Dies ermögliche den Schutz vor bekannten und unbekannten Cyber-Bedrohungen und biete eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
• SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels „Threat Intelligence“ ermöglichen, „damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt“.
• Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten, auf die ein schneller Zugriff möglich ist. Auf diese Weise könnten wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht werden könnten.

Weitere Informationen zum Thema:

kaspersky SECURELIST, GreAT, 22.07.2020
MATA: Multi-platform targeted malware framework

kaspersky, 23.09.2019
Lazarus ist zurück: Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an / Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde

kaspersky daily, 08.01.2020
Lazarus-Gruppe erweitert Funktionen seiner Kryptowährungs-Malware AppleJeus / Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken und Verfahren

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert