新的黑客团伙“Metador”在ISP网络中潜伏数月之久
导语:近两年来,威胁分子“Metador”一直在攻击众多电信公司、互联网服务提供商(ISP)和大学。
新的黑客团伙“Metador”在ISP网络中潜伏数月之久
布加迪
近两年来,一伙之前身份不明的威胁分子在攻击众多电信公司、互联网服务提供商(ISP)和大学,安全研究人员将该团伙命名为“Metador”。
Metador的攻击对象是中东和非洲的组织,其目的似乎是长期潜伏下来,从事间谍活动。该团伙使用两种基于Windows的被描述为“极其复杂”的恶意软件,但也有迹象表明使用了Linux恶意软件。
SentinelLabs的研究人员在中东的一家电信公司中发现了Metador,该公司已经遭到了来自伊朗等国的大约另外十个黑客团伙的攻击,其中包括Moshen Dragon(“魔神龙”)和MuddyWater(“污水”)这两个黑客团伙。
分析该恶意软件及基础设施后没有披露对Metador明确归属的线索,该团伙的一个特点是它“高度关注攻击操作安全”。
SentinelLabs在其报告中特别指出,Metador正在针对每个受害者管理精心分段的基础设施,并在面对安全解决方案的情况下迅速部署狡猾高明的对策。
在Metador闯入这家中招组织的网络数月之后,该组织部署了Singularity,这是SentinelOne的扩展检测和响应(XDR)解决方案后,随后研究人员发现了这个新的威胁团伙。
因此,无法获得有关初始感染途径的详细信息。这两个基于Windows的恶意软件框架名为“metaMain”和“Mafalda”,只在系统内存中运行,并未在受感染主机上留下未加密的痕迹。
自定义植入程序通过Windows中的调试工具“cdb.exe”被解密并加载到内存中,以便解密两个自定义的“metaMain”和“Mafalda”——这是两个自定义的Windows恶意软件框架,并加载到内存中。cdb.exe在这次攻击中用作LoLBin(离地攻击二进制文件)。
Mafalda是一种用途广泛的植入程序,最多可以接受67个指令,而采用的多层混淆技术使分析人员很难细致地分析。
这些指令包括执行文件操作、读取目录内容、操控注册表、侦察网络和系统以及将数据泄露到指挥和控制(C2)服务器。
Mafalda可能由一个专门的开发团队开发,因为SentinelLabs在代码中看到了留给攻击操作者的相关注释。
图1. Mafalda攻击操作图(来源:SentinelLabs)
metaMain植入程序用于更多的“实际上手”操作,比如截屏、执行文件动作、记录键盘动作,并支持任意的shellcode执行。
虽然分析人员研究发现CBD方法被用来启动执行流程,但metMain支持SentinelLabs技术报告中更详细描述的另外方法。
图2. 基于CBD的执行流程(来源:SentinelLabs)
分析人员在更深入地挖掘后发现,有迹象表明一个自定义植入程序被用于内部网络弹跳(名为“Cryshell”)以及一个未命名的Linux工具从工作站窃取数据,并发回给Mafalda。
SentinelLabs不确定Cryshell和Linux植入程序是否不同,但强调了在Mafalda进行身份验证期间端口碰撞和握手过程的差异,并指明了两种不同的工具。
图3. Mafalda Cryshell身份验证程序(来源:SentinelLabs)
自定义植入程序和攻击基础设施的严格分段(针对每个受害者和恶意软件版本使用单独的IP地址)使得跟踪Metador变得尤其困难。
加上使用完全在内存中运行的恶意软件和LoLBins,这使得威胁分子得以长时间隐藏在受害者的网络中,而受害者没有怀疑遭到了攻击。
然而尽管存在种种困难,SentinelLabs的调查还是显示,从执行日志中的时间戳来看,一些metaMain样本的日期可以追溯到2020年12月下旬。
此外,恶意软件的复杂性及其积极开发表明这个团伙资源充足,可以进一步改进工具。
研究人员还发现,这伙开发者已为恶意软件框架编写了文档,并“为另外一群攻击操作者提供了指导”。
所用的语言表明,恶意软件开发者英语流利,每个人都有自己的偏好和特点;然而,开发者团队可能有非英语母语人士。西班牙语也出现在Mafalda的代码中。
从Mafalda的指令文档来看,似乎有一个专门的团队开发了该恶意软件,另一个团队负责攻击操作。
图4. 留给Mafalda攻击操作者的信息(来源:SentinelLabs)
在这种情况下,语言和文化细节不足以明确归属。然而,SentinelLabs的研究人员推测,Metador背后有“高层承包商安排”,就像国家政府撑腰的恶意活动常见的那种安排一样。
参考及来源:
https://www.bleepingcomputer.com/news/security/new-hacking-group-metador-lurking-in-isp-networks-for-months/
发表评论