LABSCON — Скоттсдейл, штат Аризона. — Новый злоумышленник, заразивший телекоммуникационную компанию на Ближнем Востоке и нескольких интернет-провайдеров и университеты на Ближнем Востоке и в Африке, несет ответственность за две «чрезвычайно сложные» вредоносные платформы — но многое о группа, которая остается окутанной тайной, согласно новому исследованию, опубликованному здесь сегодня.
Исследователи из SentintelLabs, которые поделились своими выводами на первой в истории конференции по безопасности LabsCon, назвали группу Metador на основе фразы «I am meta», которая появляется в вредоносном коде, и того факта, что сообщения сервера обычно на испанском языке. Считается, что группа действует с декабря 2020 года, но в последние несколько лет она успешно скрывалась от радаров. Хуан Андрес Герреро-Сааде, старший директор SentinelLabs, сказал, что команда поделилась информацией о Metador с исследователями из других охранных фирм и государственных партнеров, но никто ничего не знал об этой группе.
Исследователи Guerrero-Saade и SentinelLabs Амитай Бен Шушан Эрлих и Александр Миленкоски опубликовали блоге и Технические подробности о двух вредоносных платформах, metaMain и Mafalda, в надежде найти больше зараженных жертв. «Мы знали, где они были, а не где они сейчас», — сказал Герреро-Сааде.
MetaMain — это бэкдор, который может регистрировать действия мыши и клавиатуры, делать скриншоты и эксфильтровать данные и файлы. Его также можно использовать для установки Mafalda, высокомодульной платформы, которая предоставляет злоумышленникам возможность собирать системную и сетевую информацию и другие дополнительные возможности. И metaMain, и Mafalda полностью работают в памяти и не устанавливаются на жесткий диск системы.
Политический комикс
Считается, что название вредоносной программы было вдохновлено Mafalda, популярным испаноязычным мультфильмом из Аргентины, который регулярно комментирует политические темы.
Metador устанавливает уникальные IP-адреса для каждой жертвы, гарантируя, что даже если одна система управления и контроля будет раскрыта, остальная инфраструктура останется работоспособной. Это также крайне затрудняет поиск других жертв. Часто бывает так, что когда исследователи раскрывают инфраструктуру атаки, они находят информацию, принадлежащую нескольким жертвам, что помогает определить масштабы деятельности группы. Поскольку «Метадор» разделяет свои целевые кампании, исследователи имеют лишь ограниченное представление об операциях «Метадора» и о том, на каких жертв нацелена группа.
Однако группа, похоже, не возражает против смешивания с другими атакующими группами. Исследователи обнаружили, что ближневосточная телекоммуникационная компания, которая стала одной из жертв Metador, уже была скомпрометирована по меньшей мере 10 другими группами атак национального государства. Многие другие группы оказались связанными с Китаем и Ираном.
Несколько групп угроз, нацеленных на одну и ту же систему, иногда называют «магнитом угроз», поскольку они одновременно привлекают и размещают различные группы и вредоносные платформы. Многие субъекты национального государства тратят время на устранение следов заражения другими группами, вплоть до исправления недостатков, которые использовали другие группы, прежде чем проводить свои собственные атакующие действия. По словам исследователей SentinelLabs, тот факт, что Metador заразил вредоносное ПО в системе, уже скомпрометированной (неоднократно) другими группами, говорит о том, что группе все равно, что будут делать другие группы.
Вполне возможно, что телекоммуникационная компания была такой важной целью, что группа была готова пойти на риск обнаружения, поскольку присутствие нескольких групп в одной системе увеличивает вероятность того, что жертва заметит что-то не так.
Атака акулы
В то время как группа кажется чрезвычайно хорошо обеспеченной ресурсами — о чем свидетельствует техническая сложность вредоносного ПО, передовая операционная безопасность группы, позволяющая избежать обнаружения, и тот факт, что она находится в стадии активной разработки — Герреро-Сааде предупредил, что этого недостаточно. чтобы определить, что имело место участие национального государства. По словам Герреро-Сааде, вполне возможно, что Metador может быть продуктом подрядчика, работающего от имени национального государства, поскольку есть признаки того, что группа была высокопрофессиональной. Он отметил, что у участников может быть предыдущий опыт проведения подобных атак на этом уровне.
«Мы считаем открытие Метадора сродни плавнику акулы, пробивающему поверхность воды», — написали исследователи, отметив, что понятия не имеют, что происходит под водой. «Это повод для дурных предчувствий, который подтверждает необходимость для индустрии безопасности активно работать над обнаружением истинной верхушки злоумышленников, которые в настоящее время безнаказанно пересекают сети».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
