Zephyrnet-logotyp

Forskare avslöjar den mystiska "Metador"-cyberspionagegruppen

Datum:

LABSCON – Scottsdale, Arizona – En ny hotaktör som har infekterat ett telekommunikationsföretag i Mellanöstern och flera internetleverantörer och universitet i Mellanöstern och Afrika är ansvarig för två "extremt komplexa" skadlig programvara - men mycket om grupp som fortfarande är höljd i mystik, enligt ny forskning som avslöjas här idag.

Forskare från SentintelLabs, som delade med sig av sina resultat på den första LabsCon-säkerhetskonferensen någonsin, döpte gruppen till Metador, baserat på frasen "Jag är meta" som förekommer i den skadliga koden och det faktum att servermeddelanden vanligtvis är på spanska. Gruppen tros ha varit aktiv sedan december 2020, men den har framgångsrikt flugit under radarn under de senaste åren. Juan Andrés Guerrero-Saade, senior director för SentinelLabs, sa att teamet delade information om Metador med forskare på andra säkerhetsföretag och regeringspartners, men ingen visste något om gruppen.

Guerrero-Saade och SentinelLabs forskare Amitai Ben Shushan Ehrlich och Aleksandar Milenkoski publicerade en blogginlägg och tekniska detaljer om de två malware-plattformarna, metaMain och Mafalda, i hopp om att hitta fler offer som har blivit infekterade. "Vi visste var de var, inte var de är nu," sa Guerrero-Saade.

MetaMain är en bakdörr som kan logga mus- och tangentbordsaktivitet, ta skärmdumpar och exfiltrera data och filer. Den kan också användas för att installera Mafalda, ett mycket modulärt ramverk som ger angripare möjlighet att samla in system- och nätverksinformation och andra ytterligare funktioner. Både metaMain och Mafalda fungerar helt i minnet och installerar sig inte på systemets hårddisk.

Politisk komik

Skadlig programvaras namn tros ha inspirerats av Mafalda, en populär spanskspråkig tecknad serie från Argentina som regelbundet kommenterar politiska ämnen.

Metador ställer in unika IP-adresser för varje offer, vilket säkerställer att även om ett kommando och kontroll avslöjas, förblir resten av infrastrukturen i drift. Detta gör det också extremt svårt att hitta andra offer. Det är ofta så att när forskare upptäcker attackinfrastruktur hittar de information som tillhör flera offer – vilket hjälper till att kartlägga omfattningen av gruppens aktiviteter. Eftersom Metador håller sina målkampanjer åtskilda har forskarna bara en begränsad bild av Metadors verksamhet och vilken typ av offer gruppen riktar sig till.

Vad gruppen däremot inte verkar ha något emot är att blanda sig med andra attackgrupper. Mellanöstern-telekommunikationsföretaget som var ett av Metadors offer var redan äventyrat av minst 10 andra nationalstatliga attackgrupper, fann forskarna. Många av de andra grupperna verkade ha anknytning till Kina och Iran.

Flera hotgrupper som riktar sig mot samma system kallas ibland för en "magnet av hot", eftersom de attraherar och är värd för olika grupper och skadlig programvara samtidigt. Många nationalstatsaktörer tar sig tid att ta bort spår av infektion från andra grupper, och går till och med så långt som att åtgärda de brister som de andra grupperna använde, innan de utför sina egna attackaktiviteter. Det faktum att Metador infekterade skadlig programvara på ett system som redan kompromettats (upprepade gånger) av andra grupper tyder på att gruppen inte bryr sig om vad de andra grupperna skulle göra, sa SentinelLabs forskare.

Det är möjligt att telekommunikationsföretaget var ett så värdefullt mål att gruppen var villig att ta risken för upptäckt eftersom närvaron av flera grupper på samma system ökar sannolikheten för att offret kommer att märka något fel.

Haj attack

Även om gruppen verkar ha extremt bra resurser – vilket framgår av den tekniska komplexiteten hos skadlig programvara, gruppens avancerade operativa säkerhet för att undvika upptäckt och det faktum att den är under aktiv utveckling – varnade Guerrero-Saade för att det inte var tillräckligt för att fastställa att det fanns nationalstatsinblandning. Det är möjligt att Metador kan vara produkten av en entreprenör som arbetar på uppdrag av en nationalstat, eftersom det finns tecken på att gruppen var mycket professionell, sa Geurrero-Saade. Och medlemmarna kan ha tidigare erfarenhet av att utföra den här typen av attacker på den här nivån, noterade han.

"Vi betraktar upptäckten av Metador som liknar en hajfena som bryter mot vattenytan", skrev forskarna och noterade att de inte har någon aning om vad som händer under. "Det är en anledning till förmodan som underbygger behovet för säkerhetsindustrin att proaktivt konstruera för att upptäcka den verkliga övre skorpan av hotaktörer som för närvarande passerar nätverk ostraffat."

plats_img

Senaste intelligens

plats_img