El nuevo Metador APT apunta a empresas de telecomunicaciones, ISP y universidades

Un nuevo malware, identificado como Metador, está siendo utilizado por los atacantes para atacar telecomunicaciones, proveedores de servicios de Internet y universidades en múltiples continentes, según investigadores de seguridad de SentinelOne.

"Los operadores están muy concienciados con la seguridad de las operaciones, gestionando infraestructuras cuidadosamente segmentadas por víctima y desplegando rápidamente intrincadas contramedidas en presencia de soluciones de seguridad", afirman los investigadores de SentinelOne en un nuevo informe.

El nuevo grupo de amenazas fue descubierto después de que una de las víctimas utilizara Singularity, las soluciones avanzadas de detección y respuesta XDR de SentinelOne, meses después de que Metador comprometiera su red.

Aunque Metador se encontró en una empresa de telecomunicaciones de Oriente Próximo, los investigadores afirmaron que la operación tiene como objetivo la persistencia a largo plazo de las organizaciones de ciberespionaje en Oriente Próximo y África.

Sin embargo, Metador no ha sido asociado a ningún grupo, SentinelLabs afirmó en su informe que Metador está "gestionando una infraestructura cuidadosamente segmentada por víctima y desplegando rápidamente intrincadas contramedidas en presencia de soluciones de seguridad."

Se desconocen los detalles de la primera infección, pero los implantes personalizados fueron descifrados y cargados en memoria a través de "cdb.exe", la herramienta de depuración de Windows que se utilizó en el ataque como LoLBin (living-off-the-binary). Se utilizó para descifrar y cargar en memoria los dos "metaMain" y "mafalda", dos marcos personalizados de malware para Windows.

El implante metaMain se utiliza para otras operaciones "prácticas" como capturas de pantalla, ejecución de acciones de archivo, registro de eventos de teclado y ejecución de código shell arbitrario.

Mafalda es un implante versátil y sus comandos incluyen operaciones con archivos, lectura de contenidos o directorios que manipulan el registro, reconocimiento de la red y el sistema, y exfiltración de datos al servidor de mando y control (C2).

"Tenemos artefactos que apuntan a finales de 2020, pero vale la pena señalar que la variante más temprana de la plataforma Mafalda que pudimos recuperar ya estaba en la versión de compilación 144. Es probable que este grupo haya estado activo durante varios años antes de que nadie se diera cuenta", dijo Guerrero-Saade, Director Senior de SentinelLabs.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen

Nombre del artículo

La nueva APT Metador apunta a empresas, ISP y universidades

Descripción

Un nuevo malware, identificado como Metador, está siendo utilizado por los atacantes para atacar las telecomunicaciones, los proveedores de servicios de Internet y las universidades.