Lazarus si evolve: il nuovo malware per lo spionaggio è multipiattaforma

Rubare dati e installare malware è lo scopo di MATA, il nuovo framework malware sviluppato dal gruppo ATP Lazarus che infetta sistemi Windows, Linux e macOS.

Autore: Redazione SecurityOpenLab

I sistemi operativi Windows, Linux e macOS sono bersagliati da MATA, un framework malware finalizzato al cyber spionaggio. Dietro agli attacchi c'è il gruppo ATP Lazarus. Gli attacchi sono silenti e insidiosi perché sono strutturati per passare sotto ai radar e agire sul lungo periodo. In questo modo i cyber criminali possono ottenere il maggiore profitto possibile.

A scoprire la minaccia sono stati gli esperti di Kaspersky, che hanno rilevato attacchi alle tre piattaforme sopraindicate a partire dall'aprile 2018. Il framework è costituito da diversi componenti, tra cui un loader, un orchestrator (che gestisce e coordina i processi una volta che un dispositivo viene infettato) e dei plugin.   
Il gruppo Lazarus ha adottato un approccio aggressivo per infiltrarsi nelle aziende target e rubare i database dei clienti o distribuire ransomware. Stando ai dati finora raccolti, le vittime sono localizzate prevalentemente in Polonia, Germania, Turchia, Corea, Giappone e India. Sono state coinvolte aziende di vari settori, tra cui sviluppo software, e-commerce e provider di servizi Internet.

Lazarus, riconducibile alla Corea del Nord, ha quindi preso di mira Paesi di tutto il mondo, e aziende di diversi generi. In passato i suoi attacchi erano mirati al settore finanziario, in determinate aree geografiche. Questo, e il coinvolgimento di Linux, rivelano che dietro a MATA c'è un forte investimento. Che messo a punto lo strumento perfettamente funzionante per Windows, è venuto il momento di allargare gli orizzonti.
È un passaggio che tipicamente distingue i gruppi più evoluti e che lascia dedurre ulteriori sviluppi futuri. Per questo motivo gli esperti di sicurezza informatica esortano tutte le aziende a prestare maggiore attenzione alla sicurezza dei loro dati, che sono la risorsa più preziosa per un'impresa.

Ovviamente esistono misure di mitigazione che si possono adottare. È doveroso installare una solida soluzione di sicurezza sugli endpoint, fornire al team SOC l'accesso alla Threat Intelligence più recente. Soprattutto, è indispensabile poter sempre disporre di copie di backup aggiornate e immediatamente accessibili, per recuperare tempestivamente i dati eventualmente resi inaccessibili da un ransomware.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.