Các nhà nghiên cứu bảo mật vừa phát hiện một loạt cuộc tấn công sử dụng khung mã độc mới có tên là MATA, nhắm mục tiêu vào các hệ điều hành Windows, Linux và macOS. Được sử dụng bắt đầu từ mùa xuân năm 2018. MATA có liên kết với nhóm tin tặc Lazarus - một nhóm tấn công APT nổi tiếng “hung hãn” của Triều Tiên.
Theo Kaspersky, hiếm khi có bộ công cụ chứa mã độc nhắm mục tiêu đến nhiều nền tảng, vì đòi hỏi phải đầu tư đáng kể. Chúng thường được sử dụng với mục đích dài hạn, giúp tin tặc tăng lợi nhuận thông qua nhiều cuộc tấn công lan rộng theo thời gian. Trong các trường hợp được phát hiện bởi Kaspersky, MATA có thể nhắm mục tiêu đến ba nền tảng - Windows, Linux và macOS, cho thấy tin tặc đã lên kế hoạch sử dụng nó cho nhiều mục đích khác nhau.
Theo các nhà nghiên cứu của Kaspersky, các dấu vết cho thấy MATA đã hoạt động vào khoảng tháng 4/2018. Kể từ đó, tin tặc đứng sau khung mã độc này đã tăng cường tiếp cận để xâm nhập vào các công ty trên toàn thế giới. MATA được sử dụng cho một số cuộc tấn công nhằm đánh cắp cơ sở dữ liệu của khách hàng và phát tán ransomware - mã độc có khả năng chặn truy cập vào hệ thống máy tính cho đến khi nạn nhân chi trả tiền chuộc.
Nhóm hacker Lazarus được cho là có nguồn gốc từ Triều Tiên.
Kaspersky cho biết, các nạn nhân của MATA trải rộng khắp, từ Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản, đến Ấn Độ, cho thấy nhóm tin tặc không tập trung vào một lãnh thổ nhất định. Hơn nữa, Lazarus đã tấn công các hệ thống thuộc nhiều ngành khác nhau, như phát triển phần mềm, thương mại điện tử và cung cấp dịch vụ internet.
Các nhà nghiên cứu của Kaspersky cũng cho rằng, có sự liên kết giữa MATA với nhóm Lazarus, được biết đến với những hoạt động tấn công tinh vi, thường xuyên thực hiện các cuộc tấn công mạng nhắm vào tổ chức tài chính. Một số nhà nghiên cứu, bao gồm tại Kaspersky trước đây đã báo cáo về việc nhóm tin tặc này đang nhắm mục tiêu vào các ngân hàng và công ty tài chính lớn, như cuộc tấn công ATMDtrack và chiến dịch AppleJeus.
Seongsu Park, nhà nghiên cứu bảo mật tại Kaspersky cho biết: "Hàng loạt tấn công này cho thấy Lazarus sẵn sàng đầu tư nguồn lực quan trọng để phát triển bộ công cụ và mở rộng phạm vi tấn công đến các tổ chức mục tiêu, để săn lùng cả tiền và dữ liệu. Hơn nữa, việc tạo mã độc tấn công nền tảng Linux và macOS chỉ ra rằng, tin tặc đã có quá nhiều công cụ khai thác nền tảng Windows".
Để tránh trở thành nạn nhân của mã độc đa nền tảng, các nhà nghiên cứu của Kaspersky khuyến nghị nên cài đặt sản phẩm bảo mật mạng chuyên dụng, như Kaspersky Endpoint Security for Business trên tất cả các điểm cuối của Windows, Linux và macOS. Đồng thời, phải luôn tạo bản sao dự phòng cho dữ liệu để có thể khôi phục khẩn cấp dữ liệu bị mất hoặc bị khóa do ransomware.