新的黑客团伙“Metador”在ISP网络中潜伏数月之久 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com
登录   |   注册

新的黑客团伙“Metador”在ISP网络中潜伏数月之久

布加迪 资讯 2022-09-26 07:11:49
0
收藏

导语:近两年来,威胁分子“Metador”一直在攻击众多电信公司、互联网服务提供商(ISP)和大学。

新的黑客团伙“Metador”在ISP网络中潜伏数月之久

布加迪

 11.png

近两年来,一伙之前身份不明的威胁分子在攻击众多电信公司、互联网服务提供商(ISP和大学,安全研究人员将该团伙命名为“Metador”。

Metador的攻击对象是中东和非洲的组织,其目的似乎是长期潜伏下来,从事间谍活动。该团伙使用两种基于Windows的被描述为“极其复杂”的恶意软件,但也有迹象表明使用了Linux恶意软件。

SentinelLabs的研究人员在中东的一家电信公司中发现了Metador,该公司已经遭到了来自伊朗等国的大约另外十个黑客团伙的攻击,其中包括Moshen Dragon(“魔神龙”)MuddyWater(“污水”)这两个黑客团伙

分析该恶意软件及基础设施后没有披露对Metador明确归属的线索,该团伙的一个特点是它“高度关注攻击操作安全

SentinelLabs在其报告中特别指出,Metador正在针对每个受害者管理精心分段的基础设施,并在面对安全解决方案的情况下迅速部署狡猾高明的对策。

Metador闯入这家中招组织的网络数月之后,该组织部署了Singularity,这是SentinelOne的扩展检测和响应(XDR解决方案后,随后研究人员发现了这个新的威胁团伙。

因此,无法获得有关初始感染途径的详细信息。这两个基于Windows的恶意软件框架名为“metaMain和“Mafalda,只在系统内存中运行,并未在受感染主机上留下未加密的痕迹。

自定义植入程序通过Windows中的调试工具“cdb.exe”被解密并加载到内存中,以便解密两个自定义的“metaMain和“Mafalda——这是两个自定义的Windows恶意软件框架,并加载到内存中。cdb.exe在这次攻击中用作LoLBin(离地攻击二进制文件)

Mafalda是一种用途广泛的植入程序,最多可以接受67个指令,而采用的多层混淆技术使分析人员很难细致地分析。

这些指令包括执行文件操作、读取目录内容、操控注册表、侦察网络和系统以及将数据泄露到指挥和控制(C2服务器。

Mafalda可能由一个专门的开发团队开发,因为SentinelLabs在代码中看到了留给攻击操作者的相关注释。

mafalda-operation.png

1. Mafalda攻击操作图(来源:SentinelLabs

metaMain植入程序用于更多的“实际上手”操作,比如截屏、执行文件动作、记录键盘动作,并支持任意的shellcode执行。

虽然分析人员研究发现CBD方法被用来启动执行流程,但metMain支持SentinelLabs技术报告中更详细描述的另外方法。

p2.png

2. 基于CBD的执行流程(来源:SentinelLabs

分析人员在更深入地挖掘后发现,有迹象表明一个自定义植入程序被用于内部网络弹跳(名为“Cryshell”)以及一个未命名的Linux工具从工作站窃取数据,并发回给Mafalda

SentinelLabs不确定CryshellLinux植入程序是否不同,但强调了在Mafalda进行身份验证期间端口碰撞和握手过程的差异,并指明了两种不同的工具。

p3.png

3. Mafalda Cryshell身份验证程序(来源:SentinelLabs

自定义植入程序和攻击基础设施的严格分段(针对每个受害者和恶意软件版本使用单独的IP地址)使得跟踪Metador变得尤其困难。

加上使用完全在内存中运行的恶意软件和LoLBins,这使得威胁分子得以长时间隐藏在受害者的网络中,而受害者没有怀疑遭到了攻击。

然而尽管存在种种困难,SentinelLabs的调查还是显示,从执行日志中的时间戳来看,一些metaMain样本的日期可以追溯到202012月下旬。

此外,恶意软件的复杂性及其积极开发表明这个团伙资源充足,可以进一步改进工具。

研究人员还发现,这伙开发者已为恶意软件框架编写了文档,并“为另外一群攻击操作者提供了指导”。

所用的语言表明,恶意软件开发者英语流利,每个人都有自己的偏好和特点;然而,开发者团队可能有非英语母语人士。西班牙语也出现在Mafalda的代码中。

Mafalda的指令文档来看,似乎有一个专门的团队开发了该恶意软件,另一个团队负责攻击操作。

p4.png

4. 留给Mafalda攻击操作者的信息(来源:SentinelLabs

在这种情况下,语言和文化细节不足以明确归属。然而,SentinelLabs的研究人员推测,Metador背后有“高层承包商安排”,就像国家政府撑腰的恶意活动常见的那种安排一样。

 

参考及来源:

https://www.bleepingcomputer.com/news/security/new-hacking-group-metador-lurking-in-isp-networks-for-months/
  • 分享至
  •
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 

你可能感兴趣的

公司简介 | 我要投稿 | 更新日志 | 友情链接 | 隐私政策 |
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务