2018年4月,卡巴斯基实验室在博客里提到了一种叫MATA的恶意软件。它其实在2018年就已经有了,只不过一直没人注意,直到最近一次大规模攻击发生了,大家才开始重视它。这个恶意软件非常特别,因为它能在Windows、Linux和macOS三个操作系统上运行,而且使用的是同一段代码。对于Windows版本的MATA,加载器会用十六进制字符串解密有效负载,再把它加载到内存里。它用WMI Provider Host作为跳板,攻击同一网络内的其他主机。Windows版的插件主要有三种来源:从指定的HTTP/HTTPS服务器下载、从本地磁盘加载(经过AES加密)、通过MataNet通道接收。研究者发现,这种Windows版的MATA甚至能同时启动15个插件。Linux版本的MATA伪装成了一个合法软件仓库里的软件包。这个软件包里包括了Windows版本的编排器、Atlassian Confluence漏洞利用脚本、socat工具以及一整套插件。这个Linux版本还能通过HTTP和HTTPS服务器来下载插件,还有本地磁盘和MataNet通道接收插件。2020年4月8日,有一个macOS版本的样本上传到了VirusTotal平台上,它伪装成了一个开源双因子认证应用MinaOTP。一旦打开这个程序,就会弹出插件列表和Linux版差不多的内容,还多了一个plugin_socks,用于配置SOCKS代理方便后续横向移动。这次攻击被认为是由APT组织Lazarus所策划的。关键证据藏在文件名里:协调器使用的c_2910.cls与k_3872.cls只有在Manuscrypt变体中出现过;Manuscript与MATA共享相同的配置结构;这两起事件的时间线和技术细节高度吻合。这次攻击还影响到了包括软件公司、电商巨头和ISP运营商在内的企业。波兰、德国、土耳其、韩国、日本、印度等地都有企业中招。这次攻击还涉及到了多个哈希值和C&C服务器清单。如果企业安全团队检测到了这些哈希值对应的Windows加载器样本或者这些活跃的C&C服务器IP与端口(443端口为主),那么就可以确定网络已经遭到入侵了。卡巴斯基实验室还给企业安全团队提供了一个白名单来进行阻断操作。