LABSCON – 애리조나주 스코츠데일 – 중동의 통신 회사와 중동 및 아프리카의 여러 인터넷 서비스 제공업체 및 대학을 감염시킨 새로운 위협 행위자는 두 개의 "극도로 복잡한" 멀웨어 플랫폼에 대한 책임이 있습니다. 오늘 공개된 새로운 연구에 따르면 신비에 싸인 그룹.
최초의 LabsCon 보안 컨퍼런스에서 연구 결과를 공유한 SentintelLabs의 연구원은 악성 코드에 나타나는 "I am meta"라는 문구와 서버 메시지가 일반적으로 스페인어라는 사실을 기반으로 그룹 이름을 Metador로 지정했습니다. 이 그룹은 2020년 XNUMX월부터 활동한 것으로 추정되지만 지난 몇 년 동안 성공적으로 레이더 아래에서 비행했습니다. SentinelLabs의 선임 이사인 Juan Andrés Guerrero-Saade는 팀이 다른 보안 회사 및 정부 파트너의 연구원들과 Metador에 대한 정보를 공유했지만 아무도 이 그룹에 대해 알지 못했다고 말했습니다.
Guerrero-Saade와 SentinelLabs 연구원 Amitai Ben Shushan Ehrlich와 Aleksandar Milenkoski는 블로그 게시물 와 기술적 세부 사항 감염된 피해자를 더 많이 찾기 위해 두 가지 악성코드 플랫폼인 metaMain과 Mafalda에 대해 설명합니다. Guerrero-Saade는 "우리는 그들이 어디에 있는지 알고 있었고 그들이 지금 있는 곳이 아닙니다.
MetaMain은 마우스 및 키보드 활동을 기록하고, 스크린샷을 캡처하고, 데이터와 파일을 추출할 수 있는 백도어입니다. 또한 공격자에게 시스템 및 네트워크 정보 및 기타 추가 기능을 수집할 수 있는 기능을 제공하는 고도로 모듈화된 프레임워크인 Mafalda를 설치하는 데 사용할 수도 있습니다. metaMain과 Mafalda는 모두 메모리에서 완전히 작동하며 시스템의 하드 드라이브에 설치되지 않습니다.
정치만화
이 악성코드의 이름은 정기적으로 정치적인 주제에 대해 논평하는 아르헨티나의 인기 있는 스페인어 만화인 Mafalda에서 영감을 받은 것으로 믿어집니다.
Metador는 각 피해자에 대해 고유한 IP 주소를 설정하여 하나의 명령 및 제어가 발견되더라도 나머지 인프라는 계속 작동하도록 합니다. 이것은 또한 다른 희생자를 찾는 것을 매우 어렵게 만듭니다. 연구원들이 공격 인프라를 발견할 때 여러 희생자의 정보를 찾는 경우가 종종 있습니다. 이는 그룹의 활동 범위를 파악하는 데 도움이 됩니다. Metador는 목표 캠페인을 분리하여 유지하기 때문에 연구자들은 Metador의 운영과 그룹이 목표로 하는 희생자의 종류에 대해 제한된 보기만 할 수 있습니다.
그러나 그룹이 신경 쓰지 않는 것처럼 보이는 것은 다른 공격 그룹과 섞이는 것입니다. Metador의 피해자 중 하나인 중동 통신 회사는 이미 최소 10개의 다른 국가 공격 그룹에 의해 손상되었다고 연구원들은 밝혔습니다. 다른 많은 그룹은 중국 및 이란과 제휴한 것으로 나타났습니다.
동일한 시스템을 대상으로 하는 여러 위협 그룹은 다양한 그룹과 악성 코드 플랫폼을 동시에 유치하고 호스팅하기 때문에 "위협의 자석"이라고도 합니다. 많은 민족 국가 행위자들은 자신의 공격 활동을 수행하기 전에 다른 그룹의 감염 흔적을 제거하는 데 시간을 들이고 다른 그룹이 사용하는 결함을 패치하기까지 합니다. SentinelLabs 연구원들은 Metador가 다른 그룹에 의해 이미 (반복적으로) 침해된 시스템의 맬웨어를 감염시켰다는 사실은 해당 그룹이 다른 그룹이 무엇을 할지 신경 쓰지 않는다는 것을 시사한다고 말했습니다.
동일한 시스템에 여러 그룹이 존재하면 피해자가 잘못된 것을 알아차릴 가능성이 높아지기 때문에 통신 회사는 그룹이 탐지 위험을 감수할 수 있는 고가치 표적이었을 가능성이 있습니다.
상어 공격
멀웨어의 기술적 복잡성, 탐지를 피하기 위한 그룹의 고급 운영 보안, 활발한 개발 중이라는 사실에서 알 수 있듯이 이 그룹은 자원이 매우 풍부한 것으로 보이지만 Guerrero-Saade는 충분하지 않다고 경고했습니다. 국가적 개입이 있었다는 것을 확인하기 위해. Geurrero-Saade는 그룹이 고도로 전문적이라는 징후가 있기 때문에 Metador가 국가를 대신하여 일하는 계약자의 산물일 수 있다고 말했습니다. 그리고 회원들은 이 수준에서 이러한 종류의 공격을 수행한 경험이 있을 수 있다고 그는 지적했습니다.
"우리는 Metador의 발견을 상어 지느러미가 수면을 뚫고 나오는 것과 유사하다고 생각합니다." 연구원들은 아래에서 무슨 일이 일어나고 있는지 전혀 모른다고 적었습니다. "보안 업계가 현재 면책 없이 네트워크를 가로지르는 위협 행위자의 진정한 상위 껍질을 탐지하기 위해 사전에 엔지니어링해야 할 필요성을 입증하는 예감의 원인입니다."
