前所未见的APT组织Metador已攻击电信、ISP和大学约2年

admin 2022年9月28日12:11:42安全新闻评论7 views1598字阅读5分19秒阅读模式

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

SentinelLabs 研究人员发现了一个从未被发现的黑客组织,被追踪为Metador,主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。

 

专家指出,黑客使用的攻击链旨在绕过本地安全解决方案,同时将恶意软件平台直接部署到内存中。攻击者高度了解操作安全性,他们能够管理每个受害者仔细分割的基础设施,并观察到在安全解决方案存在的情况下快速部署复杂的对策。

 

专家报告称,Metador 针对的一家电信公司已经被来自伊朗等国在内的近10个黑客组织入侵,其中包括Moshen Dragon和MuddyWater。

 

SentinelLabs 发现了两个 Windows 恶意软件平台,称为“metaMain”和“Mafalda”,以及存在额外 Linux 植入的证据。黑客使用 Windows 调试工具“cdb.exe”在内存中解密和加载这两个恶意软件。

 

Mafalda 是一个灵活的植入程序,最多支持 67 个命令,它被威胁参与者不断升级,并且威胁的新变种被高度混淆。

 

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

 

以下是 SentinelLabs 详细介绍的一些命令:

 

命令 55  – 将文件或目录从攻击者提供的源文件系统位置复制到攻击者提供的目标文件系统位置。


命令 60  – 读取 %USERPROFILE%AppDataLocalGoogleChromeUser DataLocal State 的内容,并将内容发送到 C2,名称前缀为


loot


命令 63  - 进行网络和系统配置侦察


命令 67  - 从驻留在受害者网络中的另一个植入程序中检索数据并将数据发送到 C2

 

研究人员表示,当启用 TCP KNOCK 通信方法时,metaMain 和 Mafalda 植入程序可以通过另一个内部称为“Cryshell”的植入程序与 C2 服务器建立间接连接。这两种恶意软件都通过端口敲门和握手过程向 Cryshell 进行身份验证

 

“Mafalda 向 Cryshell 进行身份验证 Mafalda 向 Cryshell 进行身份验证 Mafalda 还支持使用另一个植入程序从 Linux 机器检索数据,该植入程序将数据作为名称前缀为 loot_linux 的数据包的一部分发送到 C2。尽管这个未命名的 Linux 植入程序和 Cryshell 可能是相同的,但 Mafalda 通过不同的端口敲门和握手程序对 Linux 植入程序进行身份验证。” 阅读研究人员发表的分析。

 

对 C2 基础设施的分析表明,Metador 对每个受害网络使用单个外部 IP 地址,用于通过 HTTP(metaMain、Mafalda)或原始 TCP(Mafalda)进行命令和控制。在所有已确认的入侵中,C2 服务器都托管在荷兰托管服务提供商 LITESERVER 上。

 

“除了 HTTP,外部 Mafalda C2 服务器还支持通过端口 29029 的原始 TCP 连接。我们还观察到 Metador 的一些基础设施在一个不寻常的端口上托管了一个 SSH 服务器。虽然 SSH 通常用于远程访问 *nix 系统,但我们很难相信成熟的威胁行为者会以这种方式暴露他们的基础设施。相反,它们很可能被用来通过 Mafalda 的内部 portfwd 命令传输流量。” 继续分析。

 

谁是 Metador 的幕后黑手?

 

目前,专家们无法将该活动归因于已知的 APT 组织,但研究人员认为,其背后可能与“高端承包商安排”有关。“遇到 Metador 是一个令人生畏的提醒,不同类别的威胁行为者继续在阴影中活动而不受惩罚。”

 

加入社群即可获取报告原文!

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

精彩推荐

欧盟网络安全局ENISA联合14个成员国发布网络安全技能框架,以发展网络安全劳动力

2022.09.27

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

微软针对允许横向移动勒索软件攻击的漏洞发布带外补丁

2022.09.27

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

继普京宣布部分动员后,超300,000 名俄罗斯预备役军人信息遭到泄露

2022.09.26

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

前所未见的APT组织Metador已攻击电信、ISP和大学约2年

注:本文由E安全编译报道,转载请联系授权并注明来源

原文始发于微信公众号(E安全):前所未见的APT组织Metador已攻击电信、ISP和大学约2年

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月28日12:11:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  前所未见的APT组织Metador已攻击电信、ISP和大学约2年 http://cn-sec.com/archives/1321232.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: