통신사, ISP 및 대학을 노리는 새로운 Metador APT

센티넬원의 보안 연구원들에 따르면 공격자들이 여러 대륙의 통신, 인터넷 서비스 제공업체 및 대학을 표적으로 삼기 위해 Metador로 식별된 새로운 멀웨어를 사용하고 있습니다.

"운영자는 피해자별로 신중하게 세분화된 인프라를 관리하고 보안 솔루션이 있는 경우 복잡한 대응책을 신속하게 배포하는 운영 보안에 대해 잘 알고 있습니다."라고 SentinelOne의 연구원들은 새로운 보고서에서 말했습니다.

이 새로운 위협 그룹은 Metador가 네트워크를 손상시킨 지 몇 달 후에 피해자 중 한 명이 SentinelOne의 고급 XDR 탐지 및 대응 솔루션인 Singularity를 사용한 후에 발견되었습니다.

메타도르는 중동 통신 회사에서 발견되었지만, 연구원들은 이 작전이 중동과 아프리카의 사이버 스파이 조직이 장기적으로 지속성을 확보하는 것을 목표로 한다고 말했습니다.

하지만 Metador는 어떤 그룹과도 관련이 없으며, SentinelLabs는 보고서에서 Metador가 "피해자별로 신중하게 세분화된 인프라를 관리하고 보안 솔루션이 있는 경우 복잡한 대응책을 신속하게 배포"한다고 밝혔습니다.

첫 번째 감염에 대한 자세한 내용은 알려지지 않았지만, 맞춤형 임플란트는 공격에 사용된 Windows의 디버깅 도구인 'cdb.exe'를 통해 해독되어 메모리에 로드되었으며, 이 도구는 LoLBin(living-off-the-binary)이라는 이름으로 사용되었습니다. 이 도구는 두 개의 커스텀 윈도우 멀웨어 프레임워크인 '메타메인' 및 '마팔다'의 암호를 해독하고 메모리에 로드하는 데 사용되었습니다.

메타메인 임플란트는 스크린샷, 파일 작업 실행, 키보드 이벤트 로깅, 임의의 셸 코드 실행과 같은 기타 "실습" 작업에 사용됩니다.

마팔다는 다목적 임플란트이며 파일 작업, 레지스트리를 조작하는 콘텐츠 또는 디렉터리 읽기, 네트워크 및 시스템 정찰, 명령 및 제어(C2) 서버로의 데이터 유출 등의 명령을 수행할 수 있습니다.

"2020년 후반을 가리키는 아티팩트가 있지만, 우리가 복구할 수 있었던 마팔다 플랫폼의 가장 초기 변종은 이미 빌드 버전 144에 있었다는 점에 주목할 필요가 있습니다. 이 그룹은 누군가가 알아채기 전에 몇 년 동안 활동했을 가능성이 높습니다."라고 센티넬랩스의 수석 디렉터인 게레로 사데는 말합니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약

기사 이름

기업, ISP, 대학을 겨냥한 새로운 Metador APT

설명

공격자들이 통신, 인터넷 서비스 제공업체 및 대학을 표적으로 삼는 새로운 멀웨어인 Metador를 사용하고 있습니다.