Neue Metador APT zielt auf Telekommunikationsunternehmen, ISPs und Universitäten
Laut den Sicherheitsforschern von SentinelOne wird eine neue Malware mit dem Namen Metador von Angreifern eingesetzt, um Telekommunikationsunternehmen, Internet Service Provider und Universitäten auf mehreren Kontinenten anzugreifen.
"Die Betreiber sind sich der Sicherheit ihrer Operationen sehr bewusst, indem sie eine sorgfältig segmentierte Infrastruktur für jedes Opfer verwalten und bei Vorhandensein von Sicherheitslösungen schnell komplizierte Gegenmaßnahmen ergreifen", so die Forscher von SentinelOne in einem neuen Bericht.
Die neue Bedrohungsgruppe wurde entdeckt, nachdem eines der Opfer Singularity, die fortschrittlichen XDR-Erkennungs- und Reaktionslösungen von SentinelOne, eingesetzt hatte, Monate nachdem Metador sein Netzwerk kompromittiert hatte.
Obwohl Metador in einem Telekommunikationsunternehmen im Nahen Osten gefunden wurde, sagen die Forscher, dass die Operation darauf abzielt, Cyberspionage-Organisationen im Nahen Osten und Afrika langfristig zu unterstützen.
Metador wurde jedoch mit keiner Gruppe in Verbindung gebracht. SentinelLabs stellte in seinem Bericht fest, dass Metador "eine sorgfältig segmentierte Infrastruktur pro Opfer verwaltet und in Gegenwart von Sicherheitslösungen schnell komplizierte Gegenmaßnahmen einsetzt".
Einzelheiten der ersten Infektion sind nicht bekannt, aber die benutzerdefinierten Implantate wurden entschlüsselt und über "cdb.exe", das Debugging-Tool in Windows, das bei dem Angriff als LoLBin (living-off-the-binary) verwendet wurde, in den Speicher geladen. Es wurde verwendet, um die beiden benutzerdefinierten "metaMain" und "mafalda", zwei benutzerdefinierte Windows-Malware-Frameworks, zu entschlüsseln und in den Speicher zu laden.
Das metaMain-Implantat wird für andere "praktische" Operationen verwendet, z. B. für Screenshots, die Ausführung von Datei-Aktionen, die Protokollierung von Tastaturereignissen und die Ausführung von beliebigem Shell-Code.
Mafalda ist ein vielseitiges Implantat, dessen Befehle Datei-Operationen, das Lesen von Inhalten oder Verzeichnissen, die Manipulation der Registrierung, die Erkundung des Netzwerks und des Systems sowie das Exfiltrieren von Daten an den Command-and-Control-Server (C2) umfassen.
"Wir haben Artefakte, die auf Ende 2020 hinweisen, aber es ist erwähnenswert, dass die früheste Variante der Mafalda-Plattform, die wir wiederherstellen konnten, bereits die Build-Version 144 hatte. Es ist wahrscheinlich, dass diese Gruppe schon seit mehreren Jahren aktiv war, bevor jemand davon erfuhr", so Guerrero-Saade, Senior Director von SentinelLabs.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.