研究人员将其命名为“Metador”的一个先前未知的威胁行为者已经破坏了电信、互联网服务提供商 (ISP) 和大学大约两年的时间。
Metador 针对中东和非洲的组织,其目的似乎是长期从事间谍活动。该组织使用两种基于 Windows 的恶意软件,这些恶意软件被描述为“极其复杂”,但也有迹象表明 Linux 恶意软件。
SentinelLabs的研究人员在 中东的一家电信公司中发现了 Metador,该公司已经被来自中国和伊朗的大约十个其他威胁参与者入侵,其中包括 Moshen Dragon 和 MuddyWater。
对恶意软件和基础设施的分析并没有揭示出对 Metador 有足够信心的线索,该组织的一个特征是它“高度关注运营安全”。
SentinelLabs 在他们的报告中指出,Metador 正在“为每个受害者管理精心分割的基础设施,并在存在安全解决方案的情况下快速部署复杂的对策”。
在 Metador 破坏其网络数月后,受害者组织部署 Singularity,SentinelOne 的扩展检测和响应 (XDR) 解决方案后,研究人员发现了新的威胁组。
因此,无法获得有关初始感染媒介的详细信息。这两个基于 Windows 的恶意软件框架,称为“metaMain”和“Mafalda”,仅在系统内存中运行,不会在受感染主机上留下未加密的痕迹。
自定义植入程序通过 Windows 中的调试工具“cdb.exe”解密并加载到内存中 – 在这次攻击中用作 LoLBin(生活在陆地上的二进制文件) – 解密并在内存中加载两个自定义的“metaMain” ‘和’Mafalda’,两个自定义的Windows恶意软件框架。
Mafalda 是一种多功能的植入程序,最多可以接受 67 个命令,而其多层混淆使其难以详细分析。
这些命令包括文件操作、读取目录内容、操作注册表、侦察网络和系统以及将数据泄露到命令和控制 (C2) 服务器。
Mafalda 可能是由一个专门的作者团队开发的,因为 SentinelLabs 在发给操作员的代码中看到了注释。

metaMain 植入体用于更多“动手”操作,例如截屏、执行文件操作、记录键盘事件,并支持任意 shellcode 执行。
虽然在观察到的案例中使用 CBD 方法来启动执行流程,但 metMain 支持 SentinelLabs 技术报告中更详细描述的其他方法。

通过深入挖掘,分析人员发现了一种用于内部网络弹跳的自定义植入程序,名为“Cryshell”,以及一种未命名的 Linux 工具,该工具从工作站窃取数据并将其引导回 Mafalda。
SentinelLabs 不确定 Cryshell 和 Linux 植入程序是否不同,但强调了在 Mafalda 进行身份验证期间端口敲门和握手过程的差异,并指出了两种不同的工具。

自定义植入和攻击基础设施的严格分段(每个受害者和恶意软件构建使用单个 IP 地址)使得跟踪 Metador 变得特别具有挑战性。
结合使用完全在内存中运行的恶意软件和 LoLBins,这使得威胁行为者可以长时间隐藏在受害者网络中,而不会引起对妥协的怀疑。
然而,尽管存在这些困难,SentinelLabs 的调查显示,根据执行日志中的时间戳,一些 metaMain 样本的日期为 2020 年 12 月下旬。
此外,恶意软件的复杂性及其积极的开发表明一个资源充足的团队可以进一步改进工具。
研究人员还发现,开发人员已经记录了恶意软件框架,并为“一组单独的操作员提供了指导”。
所用语言的线索表明,开发人员的英语流利,每个人都有自己的特点;然而,开发团队可能有非英语母语人士。西班牙语也出现在 Mafalda 的代码中,引用了阿根廷的同名卡通。
根据 Mafalda 命令的文档,似乎有一个专门的团队开发了该恶意软件,而另一个团队正在操作它。

消息来源:SentinelLabs
在这种情况下,语言和文化面包屑不足以明确归属。然而,SentinelLabs 研究人员推测,Metador 背后是“高端承包商安排”,就像民族国家运营的典型安排一样。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新黑客组织“Metador”潜伏在 ISP 网络中数月