对恶意软件和基础设施的分析并没有揭示出对 Metador 有足够信心的线索,该组织的一个特征是它“高度关注运营安全”。

SentinelLabs 在他们的报告中指出,Metador 正在“为每个受害者管理精心分割的基础设施,并在存在安全解决方案的情况下快速部署复杂的对策”。

在 Metador 破坏其网络数月后,受害者组织部署 Singularity,SentinelOne 的扩展检测和响应 (XDR) 解决方案后,研究人员发现了新的威胁组。

因此,无法获得有关初始感染媒介的详细信息。这两个基于 Windows 的恶意软件框架,称为“metaMain”和“Mafalda”,仅在系统内存中运行,不会在受感染主机上留下未加密的痕迹。

自定义植入程序通过 Windows 中的调试工具“cdb.exe”解密并加载到内存中 – 在这次攻击中用作 LoLBin(生活在陆地上的二进制文件) – 解密并在内存中加载两个自定义的“metaMain” ‘和’Mafalda’,两个自定义的Windows恶意软件框架。

Mafalda 是一种多功能的植入程序,最多可以接受 67 个命令,而其多层混淆使其难以详细分析。

这些命令包括文件操作、读取目录内容、操作注册表、侦察网络和系统以及将数据泄露到命令和控制 (C2) 服务器。

Mafalda 可能是由一个专门的作者团队开发的,因为 SentinelLabs 在发给操作员的代码中看到了注释。

Mafalda 操作图
Mafalda 操作图 (SentinelLabs)

metaMain 植入体用于更多“动手”操作,例如截屏、执行文件操作、记录键盘事件,并支持任意 shellcode 执行。

虽然在观察到的案例中使用 CBD 方法来启动执行流程,但 metMain 支持 SentinelLabs 技术报告中更详细描述的其他方法。

基于 CBD 的执行流程
基于 CBD 的执行流程 (SentinelLabs)

通过深入挖掘,分析人员发现了一种用于内部网络弹跳的自定义植入程序,名为“Cryshell”,以及一种未命名的 Linux 工具,该工具从工作站窃取数据并将其引导回 Mafalda。

SentinelLabs 不确定 Cryshell 和 Linux 植入程序是否不同,但强调了在 Mafalda 进行身份验证期间端口敲门和握手过程的差异,并指出了两种不同的工具。

Mafalda Cryshell 认证程序
Mafalda Cryshell 身份验证程序 (SentinelLabs)

自定义植入和攻击基础设施的严格分段(每个受害者和恶意软件构建使用单个 IP 地址)使得跟踪 Metador 变得特别具有挑战性。

结合使用完全在内存中运行的恶意软件和 LoLBins,这使得威胁行为者可以长时间隐藏在受害者网络中,而不会引起对妥协的怀疑。

然而,尽管存在这些困难,SentinelLabs 的调查显示,根据执行日志中的时间戳,一些 metaMain 样本的日期为 2020 年 12 月下旬。

此外,恶意软件的复杂性及其积极的开发表明一个资源充足的团队可以进一步改进工具。

研究人员还发现,开发人员已经记录了恶意软件框架,并为“一组单独的操作员提供了指导”。

所用语言的线索表明,开发人员的英语流利,每个人都有自己的特点;然而,开发团队可能有非英语母语人士。西班牙语也出现在 Mafalda 的代码中,引用了阿根廷的同名卡通。

根据 Mafalda 命令的文档,似乎有一个专门的团队开发了该恶意软件,而另一个团队正在操作它。

Mafalda 恶意软件植入程序的开发者为运营商发表评论
Mafalda 操作员的
消息来源:SentinelLabs

在这种情况下,语言和文化面包屑不足以明确归属。然而,SentinelLabs 研究人员推测,Metador 背后是“高端承包商安排”,就像民族国家运营的典型安排一样。