Các nhà nghiên cứu của Kaspersky vừa phát hiện hàng loạt cuộc tấn công sử dụng một loại framework (chương trình khung) độc hại tiên tiến, được gọi là MATA, nhắm vào các hệ điều hành Windows, Linux và macOS.

Được áp dụng vào các cuộc tấn công kể từ mùa xuân năm 2018, theo Kasspersky, framework MATA có liên quan với Lazarus – nhóm tin tặc APT khét tiếng do chính phủ Bắc Triều Tiên hậu thuẫn. Các bộ công cụ độc hại sử dụng trong loạt tấn công này rất hiếm có, để xây dựng chúng các nhà phát triển cần phải đầu tư đáng kể. Vì vậy, thông thường những bộ công cụ này được triển khai sử dụng lâu dài cho nhiều cuộc tấn công để tiết kiệm chi phí.

Theo nghiên cứu của Kaspersky, framework MATA có thể tấn công vào cả ba nền tảng Windows, Linux và macOS. Rõ ràng tin tặc đã lên kế hoạch phát triển và sử dụng công cụ này cho nhiều mục đích khác nhau. Framework bao gồm nhiều thành phần như: trình tải, bộ điều phối (quản lý và điều phối các quy trình khi thiết bị bị nhiễm) và các trình cắm.

Phát hiện framework mới được Lazarus sử dụng trong hàng loạt cuộc tấn công

Theo các nhà nghiên cứu, những thiết bị đầu tiên bị phát hiện liên quan đến MATA được sử dụng từ tháng 4/2018. Kể từ đó, những kẻ đứng sau framework độc hại này đã thực hiện nhiều cuộc tấn công mạnh mẽ, xâm nhập vào hệ thống của một số công ty lớn trên toàn cầu. MATA được sử dụng để đánh cắp cơ sở dữ liệu của khách hàng hoặc phân phối mã độc tống tiền (ransomware).

Theo Kaspersky, những doanh nghiệp bị tấn công bởi framework MATA chủ yếu ở Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ. Điều này cho thấy Lazarus không tập trung vào một khu vực cụ thể. Nhóm tội phạm mạng nhắm vào các doanh nghiệp lớn thuộc nhiều lĩnh vực, trong đó có một công ty phát triển phần mềm, một công ty thương mại điện tử và một nhà cung cấp dịch vụ Internet.

Các nhà nghiên cứu của Kaspersky phát hiện MATA liên quan với Lazarus, nhóm tin tặc vốn có liên hệ mật thiết với chính phủ Triều Tiên. Đăc biệt, Lazarus chuyên thực hiện các cuộc tấn công liên quan đến lĩnh vực tài chính, nhắm mục tiêu vào những doanh nghiệp lớn, các ngân hàng, nổi tiếng trong đó có chiến dịch AppleJeus và cuộc tấn công ATMDtrack. Loạt tấn công mới cho thấy Lazarus vẫn đang tiếp tục hoạt động, chưa có dấu hiệu biến mất như một số tin đồn trước đó.

Phát hiện framework mới được Lazarus sử dụng trong hàng loạt cuộc tấn công

“Loạt tấn công này cho thấy Lazarus sẵn sàng đầu tư nhiều nguồn lực để phát triển bộ công cụ mới và mở rộng phạm vi tấn công, tập trung vào khai thác tiền và cả dữ liệu. Mặt khác, việc tin tặc triển khai những phần mềm độc hại cho các hệ thống Linux và macOS cho thấy chúng đã có quá nhiều công cụ khai thác nền tảng Windows. Phương thức tấn công dạng này thường chỉ xuất hiện với những nhóm tin tặc APT tên tuổi. Chúng tôi nghĩ rằng framework MATA sẽ còn phát triển hơn nữa, vì vậy các doanh nghiệp tổ chức cần chú ý nhiều hơn đến việc bảo mật dữ liệu. Đây là một trong những tài nguyên quan trọng và có giá trị nhất có thể bị ảnh hưởng nếu hệ thống bị tấn công”, Seongsu Park, nhà nghiên cứu bảo mật cấp cao của Kaspersky cho biết.

Để tránh trở thành nạn nhân của phần mềm độc hại đa nền tảng, doanh nghiệp nên thực hiện các biện pháp sau:

  • Cài đặt chương trình an ninh mạng chuyên dụng trên tất cả các điểm cuối (endpoint) của Windows, Linux và MacOS, ví dụ Kaspersky Endpoint Security for Business. Điều này sẽ giúp bảo vệ hệ thống khỏi những mối đe dọa hiện tại và mới, đồng thời cung cấp một số bước kiểm soát an ninh mạng trên mỗi hệ điều hành khác nhau.
  • Cung cấp cho bộ phận điều hành an ninh mạng (SOC) quyền truy cập vào dịch vụ Threat Intelligence mới nhất để họ cập nhật mọi công cụ, kỹ thuật, chiến thuật mới và mới nổi đang được tin tặc sử dụng.
  • Luôn cập nhật bản sao lưu dự phòng dữ liệu doanh nghiệp để có thể khôi phục khẩn cấp nếu dữ liệu bị mất hoặc bị khóa do ransomware.
Góc quảng cáo