Le nouveau programme APT Metador vise les entreprises de télécommunications, les fournisseurs de services Internet et les universités.

Selon les chercheurs en sécurité de SentinelOne, un nouveau logiciel malveillant, identifié comme Metador, est utilisé par les attaquants pour cibler les télécommunications, les fournisseurs de services Internet et les universités sur plusieurs continents.

"Les opérateurs sont très conscients de la sécurité des opérations, gèrent des infrastructures soigneusement segmentées par victime et déploient rapidement des contre-mesures complexes en présence de solutions de sécurité", indiquent les chercheurs de SentinelOne dans un nouveau rapport.

Le nouveau groupe de menaces a été découvert après que l'une des victimes ait utilisé Singularity, les solutions avancées de détection et de réponse XDR de SentinelOne, plusieurs mois après que Metador ait compromis son réseau.

Bien que Metador ait été découvert dans une entreprise de télécommunications du Moyen-Orient, les chercheurs ont déclaré que l'opération vise à assurer la persistance à long terme des organisations de cyberespionnage au Moyen-Orient et en Afrique.

Cependant, Metador n'a été associé à aucun groupe, SentinelLabs a déclaré dans son rapport que Metador "gère une infrastructure soigneusement segmentée par victime et déploie rapidement des contre-mesures complexes en présence de solutions de sécurité."

Les détails de la première infection ne sont pas connus, mais les implants personnalisés ont été décryptés et chargés en mémoire via "cdb.exe", l'outil de débogage de Windows utilisé dans l'attaque sous le nom de LoLBin (living-off-the-binary). Il a été utilisé pour décrypter et charger en mémoire les deux implants personnalisés "metaMain" et "mafalda", deux cadres de logiciels malveillants Windows personnalisés.

L'implant metaMain est utilisé pour d'autres opérations "pratiques" telles que les captures d'écran, l'exécution d'actions sur des fichiers, l'enregistrement d'événements clavier et l'exécution de code shell arbitraire.

Mafalda est un implant polyvalent et ses commandes comprennent des opérations sur des fichiers, la lecture de contenus ou de répertoires qui manipulent le registre, la reconnaissance du réseau et du système, et l'exfiltration de données vers le serveur de commande et de contrôle (C2).

"Nous avons des artefacts pointant vers la fin de 2020, mais il convient de noter que la variante la plus ancienne de la plateforme Mafalda que nous avons pu récupérer était déjà sur la version de construction 144. Il est probable que ce groupe ait été actif pendant plusieurs années avant que quelqu'un ne s'en aperçoive", a déclaré Guerrero-Saade, directeur principal de SentinelLabs.

Les sources de cet article comprennent un article de TheHackerNews.

Résumé

Nom de l'article

Le nouveau programme APT Metador vise les entreprises, les fournisseurs d'accès à Internet et les universités.

Description

Un nouveau logiciel malveillant, identifié comme Metador, est utilisé par les attaquants pour cibler les télécommunications, les fournisseurs de services Internet et les universités.