前所未见的APT组织Metador已攻击电信、ISP和大学约2年

SentinelLabs 研究人员发现了一个从未被发现的黑客组织，被追踪为Metador，主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。

专家指出，黑客使用的攻击链旨在绕过本地安全解决方案，同时将恶意软件平台直接部署到内存中。攻击者高度了解操作安全性，他们能够管理每个受害者仔细分割的基础设施，并观察到在安全解决方案存在的情况下快速部署复杂的对策。

专家报告称，Metador 针对的一家电信公司已经被来自伊朗等国在内的近10个黑客组织入侵，其中包括Moshen Dragon和MuddyWater。

SentinelLabs 发现了两个 Windows 恶意软件平台，称为“metaMain”和“Mafalda”，以及存在额外 Linux 植入的证据。黑客使用 Windows 调试工具“cdb.exe”在内存中解密和加载这两个恶意软件。

Mafalda 是一个灵活的植入程序，最多支持 67 个命令，它被威胁参与者不断升级，并且威胁的新变种被高度混淆。

以下是 SentinelLabs 详细介绍的一些命令：

命令 55  – 将文件或目录从攻击者提供的源文件系统位置复制到攻击者提供的目标文件系统位置。

命令 60  – 读取 %USERPROFILE%AppDataLocalGoogleChromeUser DataLocal State 的内容，并将内容发送到 C2，名称前缀为

loot

命令 63  - 进行网络和系统配置侦察

命令 67  - 从驻留在受害者网络中的另一个植入程序中检索数据并将数据发送到 C2

研究人员表示，当启用 TCP KNOCK 通信方法时，metaMain 和 Mafalda 植入程序可以通过另一个内部称为“Cryshell”的植入程序与 C2 服务器建立间接连接。这两种恶意软件都通过端口敲门和握手过程向 Cryshell 进行身份验证。

“Mafalda 向 Cryshell 进行身份验证 Mafalda 向 Cryshell 进行身份验证 Mafalda 还支持使用另一个植入程序从 Linux 机器检索数据，该植入程序将数据作为名称前缀为 loot_linux 的数据包的一部分发送到 C2。尽管这个未命名的 Linux 植入程序和 Cryshell 可能是相同的，但 Mafalda 通过不同的端口敲门和握手程序对 Linux 植入程序进行身份验证。” 阅读研究人员发表的分析。

对 C2 基础设施的分析表明，Metador 对每个受害网络使用单个外部 IP 地址，用于通过 HTTP（metaMain、Mafalda）或原始 TCP（Mafalda）进行命令和控制。在所有已确认的入侵中，C2 服务器都托管在荷兰托管服务提供商 LITESERVER 上。

“除了 HTTP，外部 Mafalda C2 服务器还支持通过端口 29029 的原始 TCP 连接。我们还观察到 Metador 的一些基础设施在一个不寻常的端口上托管了一个 SSH 服务器。虽然 SSH 通常用于远程访问 *nix 系统，但我们很难相信成熟的威胁行为者会以这种方式暴露他们的基础设施。相反，它们很可能被用来通过 Mafalda 的内部 portfwd 命令传输流量。” 继续分析。

谁是 Metador 的幕后黑手？

目前，专家们无法将该活动归因于已知的 APT 组织，但研究人员认为，其背后可能与“高端承包商安排”有关。“遇到 Metador 是一个令人生畏的提醒，不同类别的威胁行为者继续在阴影中活动而不受惩罚。”

加入社群即可获取报告原文！