New Metador APT瞄準電信公司，ISP和大學

據SentinelOne的安全研究人員稱，攻擊者正在使用一種名為Metador的新惡意軟體來攻擊多個大洲的電信，互聯網服務提供者和大學。

“運營商高度了解運營安全，管理每個受害者精心分割的基礎設施，並在存在安全解決方案的情況下快速部署複雜的對策，”SentinelOne的研究人員在一份新報告中說。

在Metador破壞其網路幾個月後，其中一名受害者使用了SentinelOne的高級XDR檢測和回應解決方案Singularity，發現了新的威脅組織。

儘管Metador是在一家中東電信公司中發現的，但研究人員表示，該行動旨在為中東和非洲的網路間諜組織獲得長期的持久性。

然而，SentinelLabs在其報告中表示，Metador並未與任何組織相關聯，Metador正在“管理每個受害者精心分割的基礎設施，並在存在安全解決方案的情況下快速部署複雜的對策。

第一次感染的細節尚不清楚，但自定義植入物通過“cdb.exe”解密並載入記憶體中，cdb是Windows中的調試工具，在攻擊中用作LoLBin（二進位生活）。它被用來解密並在記憶體中載入兩個自定義的“metaMain”和“mafalda”，兩個自定義的Windows惡意軟體框架。

metaMain 植入物用於其他「動手」操作，例如螢幕截圖、執行檔操作、記錄鍵盤事件和執行任意 shell 代碼。

Mafalda是一種多功能植入物，其命令包括檔操作，讀取操縱註冊表的內容或目錄，網路和系統的偵察以及將數據洩露到命令和控制（C2）伺服器。

“我們有指向 2020 年底的工件，但值得注意的是，我們能夠恢復的 Mafalda 平臺的最早變體已經在構建版本 144 上。在任何人流行之前，這個團體很可能已經活躍了好幾年，“SentinelLabs高級總監Guerrero-Saade說。

這篇文章的來源包括 TheHackerNews上的一篇文章。

總結

文章名稱

New Metador APT瞄準公司，ISP和大學

描述

攻擊者正在使用一種名為Metador的新惡意軟體來攻擊電信，互聯網服務提供者和大學。