LABSCON——亚利桑那州斯科茨代尔——一个新的威胁行为者已经感染了中东的一家电信公司以及中东和非洲的多家互联网服务提供商和大学,它负责两个“极其复杂”的恶意软件平台——但很多关于根据今天在这里公布的新研究,这个群体仍然笼罩在神秘之中。
SentitelLabs 的研究人员在首届 LabsCon 安全会议上分享了他们的发现,并根据恶意代码中出现的短语“我是元”以及服务器消息通常使用西班牙语这一事实命名了 Metador 组。 据信该组织自 2020 年 XNUMX 月以来一直活跃,但在过去几年中它已成功地在雷达下飞行。 SentinelLabs 高级主管 Juan Andrés Guerrero-Saade 表示,该团队与其他安全公司和政府合作伙伴的研究人员分享了有关 Metador 的信息,但没有人对该组织一无所知。
Guerrero-Saade 和 SentinelLabs 研究人员 Amitai Ben Shushan Ehrlich 和 Aleksandar Milenkoski 发表了 博客文章 和 技术细节 关于 metaMain 和 Mafalda 这两个恶意软件平台,希望能找到更多被感染的受害者。 “我们知道他们在哪里,而不是他们现在在哪里,”格雷罗-萨德说。
MetaMain 是一个后门,可以记录鼠标和键盘活动、抓取屏幕截图以及泄露数据和文件。 它还可用于安装 Mafalda,这是一个高度模块化的框架,可为攻击者提供收集系统和网络信息的能力以及其他附加功能。 metaMain 和 Mafalda 都完全在内存中运行,并且不会将自己安装在系统的硬盘上。
政治漫画
该恶意软件的名称被认为是受到了来自阿根廷的流行西班牙语漫画 Mafalda 的启发,该漫画经常评论政治话题。
Metador 为每个受害者设置唯一的 IP 地址,确保即使发现一个命令和控制,其余的基础设施仍然可以运行。 这也使得寻找其他受害者变得极其困难。 通常情况下,当研究人员发现攻击基础设施时,他们会发现属于多个受害者的信息——这有助于确定该组织的活动范围。 由于 Metador 将其目标活动分开,研究人员对 Metador 的运作以及该组织针对的受害者类型只有有限的了解。
然而,该组织似乎并不介意的是与其他攻击组织混在一起。 研究人员发现,作为 Metador 受害者之一的中东电信公司已经受到至少 10 个其他民族国家攻击组织的攻击。 许多其他团体似乎与中国和伊朗有关联。
针对同一系统的多个威胁组有时被称为“威胁磁铁”,因为它们同时吸引和托管各种组和恶意软件平台。 许多民族国家行为者在进行自己的攻击活动之前,会花时间消除其他团体的感染痕迹,甚至会修补其他团体使用的漏洞。 SentinelLabs 研究人员表示,Metador 感染了系统上的恶意软件已经被其他团体(反复)感染的事实表明,该团体并不关心其他团体会做什么。
电信公司可能是高价值目标,该组织愿意冒被检测的风险,因为同一系统上存在多个组增加了受害者发现错误的可能性。
鲨鱼袭击
虽然该组织似乎资源极其丰富——恶意软件的技术复杂性、该组织逃避检测的先进操作安全性以及正在积极开发的事实都证明了这一点——但 Guerrero-Saade 警告说这还不够以确定是否存在民族国家的参与。 Geurrero-Saade 说,Metador 可能是代表一个民族国家工作的承包商的产品,因为有迹象表明该组织非常专业。 他指出,成员可能有在此级别进行此类攻击的先前经验。
研究人员写道:“我们认为 Metador 的发现类似于打破水面的鱼翅,”并指出他们不知道下面发生了什么。 “这是一个不祥的预兆,证明了安全行业需要主动设计以检测当前穿越网络而不受惩罚的威胁行为者的真正上层社会。”
