潜伏在ISP网络中数月的新黑客组织Metador admin 102205文章 87评论 2022年10月1日10:49:52评论16 views字数 1694阅读5分38秒阅读模式 研究人员称之为“Metador”的一个以前未知的威胁因素已经入侵电信、互联网服务提供商(ISP)和大学大约两年了。 Metador的目标是中东和非洲的组织,他们的目的似乎是长期坚持间谍活动。该组织使用了两种基于Windows的恶意软件,它们被描述为“极其复杂”,但也有迹象表明存在Linux恶意软件。 SentinelLabs的研究人员在中东的一家电信公司发现了Metador,该公司已经被来自伊朗的大约10个其他威胁行为者攻破,其中包括Moshen Dragon和MuddyWater。 对恶意软件和基础设施的分析没有揭示出足够可信地将Metador归因于该组织的线索,该组织的一个特征是它“高度关注运营安全”。 SentinelLabs在他们的报告中指出,Metador正在“管理每个受害者精心分割的基础设施,并在存在安全解决方案的情况下快速部署复杂的对策。” 研究人员是在受害组织部署的 Singularity 之后发现新的威胁组的,SentinelOne 的扩展检测和响应(XDR)解决方案是在 Metador 入侵其网络几个月后。 因此,关于最初感染媒介的细节还不清楚。这两个基于Windows的恶意软件框架,被称为“MetaMain”和“Mafalda”,只在系统内存中运行,不会在被入侵的主机上留下未加密的痕迹。 自定义植入通过“cdb.exe”解密并加载到内存中,CDB . exe是Windows中的调试工具,在这次攻击中用作lol bin(living-off-the land binary),以解密并在内存中加载两个自定义的“metaMain”和“Mafalda”,这是两个自定义的Windows恶意软件框架。 Mafalda 是一个多功能的植入物,可以接受多达67个命令,而它的多层混淆使得它很难进行详细分析。这些命令包括文件操作、读取目录内容、操作注册表、侦察网络和系统以及将数据过滤到命令和控制(C2)服务器。 Mafalda 很可能是由一个专门的作者团队开发的,正如SentinelLabs在发给运营商的代码中看到的评论。 Mafalda 运行图 MetaMain植入物用于更多的“动手”操作,如截图、执行文件操作、记录键盘事件,并支持任意外壳代码执行。 虽然CBD方法在观察案例中用于启动执行流程,metMain支持的技术报告中更详细描述的其他方法。 基于CBD的执行流程 通过深入挖掘,分析师们发现了一种用于内部网络反弹的定制植入物,名为“Cryshell”和一种未命名的Linux工具,该工具从工作站窃取数据,并将其传输回Mafalda。 SentinelLabs 不确定 Cryshell 和 Linux implant 是否不同,但强调了在Mafalda认证期间端口敲门和握手程序的差异,指出了两种不同的工具。 Mafalda Cryshell认证程序 攻击基础设施的定制植入和严格分段(每个受害者和恶意软件版本使用一个IP地址)使得跟踪Metador特别具有挑战性。 结合使用完全在内存和LoLBins中运行的恶意软件,这使得威胁参与者可以长时间隐藏在受害者网络中,而不会引起妥协的怀疑。 然而,尽管存在这些困难,SentinelLabs的调查显示,根据执行日志中的时间戳,一些MetaMain样本的日期可以追溯到2020年12月下旬。 此外,恶意软件的复杂性及其活跃的发展表明,有一个资源丰富的团体可以进一步改进这些工具。 研究人员还发现,开发人员记录了恶意软件框架,并为“一组独立的运营商提供了指导” 所用语言的线索表明开发人员英语流利,每个人都有自己的语言习惯;然而,开发团队很可能有非英语母语者。 西班牙语也出现在Mafalda代码中,指的是阿根廷同名漫画。根据Mafalda命令的文档,似乎有一个专门的团队开发恶意软件,而另一个小组在操作它。 Mafalda 操作员的信息 在这种情况下,语言和文化的痕迹不足以明确归属。然而,SentinelLabs的研究人员推断,Metador 背后是“一个高端承包商的安排”,就像一个典型的民族国家行动。 原文始发于微信公众号(网络研究院):潜伏在ISP网络中数月的新黑客组织“Metador” 点赞 http://cn-sec.com/archives/1315616.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论