LABSCON – アリゾナ州スコッツデール – 中東の通信会社と、中東およびアフリカの複数のインターネット サービス プロバイダーと大学に感染した新しい脅威アクターは、XNUMX つの「非常に複雑な」マルウェア プラットフォームに関与しています。今日ここで明らかにされた新しい研究によると、謎に包まれたままのグループ.
史上初の LabsCon セキュリティ カンファレンスで調査結果を共有した SentintelLabs の研究者は、悪意のあるコードに表示される「I am meta」というフレーズと、サーバー メッセージが通常スペイン語であるという事実に基づいて、このグループを Metador と名付けました。 このグループは 2020 年 XNUMX 月から活動していたと考えられていますが、ここ数年は目立たないように活動していました。 SentinelLabs のシニア ディレクターである Juan Andrés Guerrero-Saade 氏によると、チームは Metador に関する情報を他のセキュリティ企業や政府パートナーの研究者と共有しましたが、誰もこのグループについて何も知りませんでした。
Guerrero-Saade と SentinelLabs の研究者である Amitai Ben Shushan Ehrlich と Aleksandar Milenkoski は、 ブログ投稿 & 技術的な詳細 感染した被害者をさらに発見することを期待して、metaMain と Mafalda の XNUMX つのマルウェア プラットフォームについて説明します。 「彼らがどこにいるかはわかっていましたが、現在どこにいるかはわかっていませんでした」とゲレロ・サードは言いました。
MetaMain は、マウスとキーボードのアクティビティを記録し、スクリーンショットを取得し、データとファイルを盗み出すバックドアです。 また、高度にモジュール化されたフレームワークである Mafalda をインストールするためにも使用できます。これは、攻撃者にシステムとネットワークの情報およびその他の追加機能を収集する機能を提供します。 metaMain と Mafalda はどちらも完全にメモリ内で動作し、システムのハード ドライブにはインストールされません。
風刺漫画
このマルウェアの名前は、政治的な話題について定期的にコメントしている、アルゼンチンで人気のスペイン語の漫画であるマファルダに触発されたと考えられています。
Metador は被害者ごとに一意の IP アドレスを設定し、たとえ XNUMX つのコマンド アンド コントロールが明らかになったとしても、インフラストラクチャの残りの部分が動作し続けることを保証します。 これにより、他の犠牲者を見つけることも非常に困難になります。 多くの場合、研究者が攻撃インフラストラクチャを発見すると、複数の被害者に属する情報が見つかります。これは、グループの活動の範囲を特定するのに役立ちます。 Metador はターゲット キャンペーンを分離しているため、研究者は、Metador の操作と、グループがターゲットにしている被害者の種類について限られたビューしか持っていません。
ただし、このグループが気にしていないように見えるのは、他の攻撃グループとの混合です。 Metador の被害者の 10 つである中東の電気通信会社は、少なくとも XNUMX の他の国家攻撃グループによってすでに侵害されていたことを研究者は発見しました。 他のグループの多くは、中国とイランと提携しているように見えました。
同じシステムを標的とする複数の脅威グループは、さまざまなグループやマルウェア プラットフォームを同時に引き付けてホストするため、「脅威の磁石」と呼ばれることがあります。 多くの国民国家アクターは、他のグループによる感染の痕跡を取り除くために時間をかけ、他のグループが使用した欠陥にパッチを適用してから、独自の攻撃活動を実行します。 Metador が他のグループによって (繰り返し) 侵害されたシステム上のマルウェアに感染したという事実は、そのグループが他のグループが何をするかを気にしていないことを示唆していると、SentinelLabs の研究者は述べています。
同じシステム上に複数のグループが存在すると、被害者が何か問題に気付く可能性が高くなるため、電気通信会社が高価値の標的であった可能性があります。
シャークアタック
このグループは、マルウェアの技術的な複雑さ、検出を回避するためのグループの高度な運用セキュリティ、および活発な開発が行われているという事実によって証明されるように、非常に十分なリソースを備えているように見えますが、Guerrero-Saade 氏は、それだけでは不十分であると警告しました。国家の関与があったと判断する。 グループが非常に専門的だった兆候があるため、Metador は国民国家のために働く請負業者の製品である可能性がある、と Geurrero-Saade 氏は述べた。 また、メンバーは、このレベルでこの種の攻撃を実行した経験がある可能性があると彼は指摘しました。
「メタドールの発見は、水面を破るサメのひれに似ていると考えています」と研究者は書いており、その下で何が起こっているのかわからないと指摘しています。 「これは、セキュリティ業界が、現在ネットワークを無罪で横断している脅威アクターの真の上位層を検出するために積極的に設計する必要性を実証する予兆の原因です。」
