Ερευνητές ασφαλείας από την SentinelLabs ανακάλυψαν μια νέα hacking ομάδα, την οποία ονόμασαν “Metador” και η οποία παραβιάζει εταιρείες τηλεπικοινωνιών, παρόχους υπηρεσιών Διαδικτύου (ISP) και πανεπιστήμια εδώ και περίπου δύο χρόνια.
Η ομάδα Metador στοχεύει οργανισμούς στη Μέση Ανατολή και την Αφρική και ο σκοπός της φαίνεται να είναι το μακροπρόθεσμο persistence για κατασκοπεία. Η ομάδα χρησιμοποιεί δύο κακόβουλα προγράμματα που βασίζονται στα Windows και που έχουν περιγραφεί ως “εξαιρετικά περίπλοκα”. Ωστόσο, υπάρχει επίσης περίπτωση να υπάρχει και κακόβουλο λογισμικό για Linux.
Δείτε επίσης: Sophos Firewall: Κρίσιμη ευπάθεια χρησιμοποιείται από hackers
Οι ερευνητές ανακάλυψαν τη hacking ομάδα Metador σε μια εταιρεία τηλεπικοινωνιών στη Μέση Ανατολή που είχε ήδη παραβιαστεί από περίπου δέκα άλλες ομάδες που προέρχονταν από την Κίνα και το Ιράν.
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Η SentinelLabs σημειώνει στην έκθεσή τους ότι η Metador “διαχειρίζεται προσεκτικά τμηματοποιημένη υποδομή ανά θύμα και αντιδρά γρήγορα αν εντοπίσει λύσεις ασφαλείας“.
Οι ερευνητές ανακάλυψαν τη νέα ομάδα απειλών αφού η εταιρεία-θύμα ανέπτυξε το Singularity, τη λύση εκτεταμένης ανίχνευσης και απόκρισης (XDR) της SentinelOne, μήνες αφότου η Metador παραβίασε το δίκτυό της.
Αυτό σημαίνει, δυστυχώς, ότι δεν υπάρχουν διαθέσιμες λεπτομέρειες σχετικά με την αρχική μόλυνση. Τα δύο malware frameworks που βασίζονται σε Windows και ονομάζονται «metaMain» και «Mafalda», εκτελούνται μόνο στη μνήμη του συστήματος, χωρίς να αφήνουν κανένα μη κρυπτογραφημένο ίχνος στον παραβιασμένο κεντρικό υπολογιστή.
Τα custom implants αποκρυπτογραφήθηκαν και φορτώθηκαν στη μνήμη μέσω του “cdb.exe”, του debugging tool στα Windows – που χρησιμοποιήθηκε σε αυτήν την επίθεση ως LoLBin (living-off-the land binary) – για την αποκρυπτογράφηση και τη φόρτωση των “metaMain” και ‘Mafalda’ στη μνήμη.
Δείτε επίσης: Η Ουκρανία εξαρθρώνει ομάδα που έκλεψε 30 εκατ. accounts και τα πούλησε στο dark web
Το Mafalda είναι πολύ ευέλικτο και μπορεί να δεχτεί έως και 67 εντολές, ενώ το πολυεπίπεδο obfuscation του καθιστά δύσκολη τη λεπτομερή ανάλυση.
Οι εντολές περιλαμβάνουν λειτουργίες αρχείων, ανάγνωση περιεχομένων, χειρισμό του μητρώου, αναγνώριση του δικτύου και του συστήματος και εξαγωγή δεδομένων στον command and control (C2) server.
Το metaMain χρησιμοποιείται για λήψη screenshots, εκτέλεση file actions, καταγραφή συμβάντων πληκτρολογίου και υποστήριξη εκτέλεσης shellcode.
Ψάχνοντας περισσότερο, οι αναλυτές βρήκαν ενδείξεις για ένα custom implant που χρησιμοποιείται για internal network bouncing και ονομάζεται “Cryshell“. Επίσης, βρήκαν και ένα εργαλείο Linux που κλέβει δεδομένα από workstations και τα διοχετεύει πίσω στο Mafalda.
Τα custom implants και η αυστηρή τμηματοποίηση της υποδομής επίθεσης (χρησιμοποιώντας μία μόνο διεύθυνση IP ανά θύμα και δημιουργία κακόβουλου λογισμικού) καθιστούν την παρακολούθηση του Metador ιδιαίτερα δύσκολη.
Δείτε επίσης: Αποκαλύφθηκε επιχείρηση credit card fraud πολλών εκατομμυρίων δολαρίων
Σε συνδυασμό με τη χρήση κακόβουλου λογισμικού που εκτελείται εξ ολοκλήρου στη μνήμη και τα LoLBins, αυτό επιτρέπει στον παράγοντα απειλής να παραμένει κρυμμένος στα δίκτυα των θυμάτων για μεγάλα χρονικά διαστήματα χωρίς να δημιουργεί υποψίες παραβίασης.
Ωστόσο, παρά τα εμπόδια, η SentinelLabs ανακάλυψε ότι ορισμένα δείγματα metaMain χρονολογούνται από τα τέλη Δεκεμβρίου 2020. Αυτό σημαίνει ότι η ομάδα παραβιάζει διάφορες εταιρείες και πανεπιστήμια για πάνω από δύο χρόνια. Επιπλέον, η πολυπλοκότητα του κακόβουλου λογισμικού και η ενεργή ανάπτυξή του δείχνουν μια ομάδα με καλούς πόρους που μπορεί να βελτιώσει περαιτέρω τα εργαλεία.
Περισσότερες λεπτομέρειες στην έκθεση της SentinelLabs.
Πηγή: www.bleepingcomputer.com