潜伏在ISP网络中数月的新黑客组织Metador

研究人员称之为“Metador”的一个以前未知的威胁因素已经入侵电信、互联网服务提供商(ISP)和大学大约两年了。

Metador的目标是中东和非洲的组织，他们的目的似乎是长期坚持间谍活动。该组织使用了两种基于Windows的恶意软件，它们被描述为“极其复杂”，但也有迹象表明存在Linux恶意软件。

SentinelLabs的研究人员在中东的一家电信公司发现了Metador，该公司已经被来自伊朗的大约10个其他威胁行为者攻破，其中包括Moshen Dragon和MuddyWater。

对恶意软件和基础设施的分析没有揭示出足够可信地将Metador归因于该组织的线索，该组织的一个特征是它“高度关注运营安全”。

SentinelLabs在他们的报告中指出，Metador正在“管理每个受害者精心分割的基础设施，并在存在安全解决方案的情况下快速部署复杂的对策。” 研究人员是在受害组织部署的 Singularity 之后发现新的威胁组的，SentinelOne 的扩展检测和响应(XDR)解决方案是在 Metador 入侵其网络几个月后。

因此，关于最初感染媒介的细节还不清楚。这两个基于Windows的恶意软件框架，被称为“MetaMain”和“Mafalda”，只在系统内存中运行，不会在被入侵的主机上留下未加密的痕迹。

自定义植入通过“cdb.exe”解密并加载到内存中，CDB . exe是Windows中的调试工具，在这次攻击中用作lol bin(living-off-the land binary)，以解密并在内存中加载两个自定义的“metaMain”和“Mafalda”，这是两个自定义的Windows恶意软件框架。

Mafalda 是一个多功能的植入物，可以接受多达67个命令，而它的多层混淆使得它很难进行详细分析。这些命令包括文件操作、读取目录内容、操作注册表、侦察网络和系统以及将数据过滤到命令和控制(C2)服务器。

Mafalda 很可能是由一个专门的作者团队开发的，正如SentinelLabs在发给运营商的代码中看到的评论。

Mafalda 运行图

MetaMain植入物用于更多的“动手”操作，如截图、执行文件操作、记录键盘事件，并支持任意外壳代码执行。

虽然CBD方法在观察案例中用于启动执行流程，metMain支持的技术报告中更详细描述的其他方法。

基于CBD的执行流程

通过深入挖掘，分析师们发现了一种用于内部网络反弹的定制植入物，名为“Cryshell”和一种未命名的Linux工具，该工具从工作站窃取数据，并将其传输回Mafalda。

SentinelLabs 不确定 Cryshell 和 Linux implant 是否不同，但强调了在Mafalda认证期间端口敲门和握手程序的差异，指出了两种不同的工具。

Mafalda Cryshell认证程序

攻击基础设施的定制植入和严格分段(每个受害者和恶意软件版本使用一个IP地址)使得跟踪Metador特别具有挑战性。

结合使用完全在内存和LoLBins中运行的恶意软件，这使得威胁参与者可以长时间隐藏在受害者网络中，而不会引起妥协的怀疑。

然而，尽管存在这些困难，SentinelLabs的调查显示，根据执行日志中的时间戳，一些MetaMain样本的日期可以追溯到2020年12月下旬。

此外，恶意软件的复杂性及其活跃的发展表明，有一个资源丰富的团体可以进一步改进这些工具。

研究人员还发现，开发人员记录了恶意软件框架，并为“一组独立的运营商提供了指导” 所用语言的线索表明开发人员英语流利，每个人都有自己的语言习惯；然而，开发团队很可能有非英语母语者。

西班牙语也出现在Mafalda代码中，指的是阿根廷同名漫画。根据Mafalda命令的文档，似乎有一个专门的团队开发恶意软件，而另一个小组在操作它。

Mafalda 操作员的信息

在这种情况下，语言和文化的痕迹不足以明确归属。然而，SentinelLabs的研究人员推断，Metador 背后是“一个高端承包商的安排”，就像一个典型的民族国家行动。

原文始发于微信公众号（网络研究院）：潜伏在ISP网络中数月的新黑客组织“Metador”