潜伏在ISP网络中数月的新黑客组织“Metador”
研究人员称之为“Metador”的一个以前未知的威胁因素已经入侵电信、互联网服务提供商(ISP)和大学大约两年了。
Metador的目标是中东和非洲的组织,他们的目的似乎是长期坚持间谍活动。该组织使用了两种基于Windows的恶意软件,它们被描述为“极其复杂”,但也有迹象表明存在Linux恶意软件。
SentinelLabs的研究人员在中东的一家电信公司发现了Metador,该公司已经被来自伊朗的大约10个其他威胁行为者攻破,其中包括Moshen Dragon和MuddyWater。
对恶意软件和基础设施的分析没有揭示出足够可信地将Metador归因于该组织的线索,该组织的一个特征是它“高度关注运营安全”。
SentinelLabs在他们的报告中指出,Metador正在“管理每个受害者精心分割的基础设施,并在存在安全解决方案的情况下快速部署复杂的对策。” 研究人员是在受害组织部署的 Singularity 之后发现新的威胁组的,SentinelOne 的扩展检测和响应(XDR)解决方案是在 Metador 入侵其网络几个月后。
因此,关于最初感染媒介的细节还不清楚。这两个基于Windows的恶意软件框架,被称为“MetaMain”和“Mafalda”,只在系统内存中运行,不会在被入侵的主机上留下未加密的痕迹。
自定义植入通过“cdb.exe”解密并加载到内存中,CDB . exe是Windows中的调试工具,在这次攻击中用作lol bin(living-off-the land binary),以解密并在内存中加载两个自定义的“metaMain”和“Mafalda”,这是两个自定义的Windows恶意软件框架。
Mafalda 是一个多功能的植入物,可以接受多达67个命令,而它的多层混淆使得它很难进行详细分析。这些命令包括文件操作、读取目录内容、操作注册表、侦察网络和系统以及将数据过滤到命令和控制(C2)服务器。
Mafalda 很可能是由一个专门的作者团队开发的,正如SentinelLabs在发给运营商的代码中看到的评论。
Mafalda 运行图
MetaMain植入物用于更多的“动手”操作,如截图、执行文件操作、记录键盘事件,并支持任意外壳代码执行。
虽然CBD方法在观察案例中用于启动执行流程,metMain支持的技术报告中更详细描述的其他方法。
基于CBD的执行流程
通过深入挖掘,分析师们发现了一种用于内部网络反弹的定制植入物,名为“Cryshell”和一种未命名的Linux工具,该工具从工作站窃取数据,并将其传输回Mafalda。
SentinelLabs 不确定 Cryshell 和 Linux implant 是否不同,但强调了在Mafalda认证期间端口敲门和握手程序的差异,指出了两种不同的工具。
Mafalda Cryshell认证程序
攻击基础设施的定制植入和严格分段(每个受害者和恶意软件版本使用一个IP地址)使得跟踪Metador特别具有挑战性。
结合使用完全在内存和LoLBins中运行的恶意软件,这使得威胁参与者可以长时间隐藏在受害者网络中,而不会引起妥协的怀疑。
然而,尽管存在这些困难,SentinelLabs的调查显示,根据执行日志中的时间戳,一些MetaMain样本的日期可以追溯到2020年12月下旬。
此外,恶意软件的复杂性及其活跃的发展表明,有一个资源丰富的团体可以进一步改进这些工具。
研究人员还发现,开发人员记录了恶意软件框架,并为“一组独立的运营商提供了指导” 所用语言的线索表明开发人员英语流利,每个人都有自己的语言习惯;然而,开发团队很可能有非英语母语者。
西班牙语也出现在Mafalda代码中,指的是阿根廷同名漫画。根据Mafalda命令的文档,似乎有一个专门的团队开发恶意软件,而另一个小组在操作它。
Mafalda 操作员的信息
在这种情况下,语言和文化的痕迹不足以明确归属。然而,SentinelLabs的研究人员推断,Metador 背后是“一个高端承包商的安排”,就像一个典型的民族国家行动。
潜伏在ISP网络中数月的新黑客组织“Metador”相关推荐
- 俄国新黑客组织很狂,搞事前还接受采访
本文转载自量子位 太狂了,俄罗斯最新黑客组织声称未来"勒索行动的成功不可避免". 这个新组织名叫BlackMatter (黑物质). 从黑暗面(DarkSide).REvil到黑物 ...
- win10找不到wifi网络_10月微信新方法!手机搜索不到wifi网络,微信这样设置一下,走到哪里都能蹭网...
阅读本文前,请您先点击上面的"蓝色字体",再点击"关注",这样您就可以继续免费收到文章了.每天都会有分享,都是免费订阅,请您放心关注. [免责声明]本文部分文字 ...
- 黑客组织称7月将售新入侵工具 价格超2.2万美元
北京时间5月31日消息,之前一黑客组织发布网络入侵工具,安全专家相信这些工具是从美国国家安全局(NSA)窃取的.本周二,该组织对外宣称,计划今年7月将一些新代码出售给客户,这些客户愿意花钱购买,价格超 ...
- 2020中国高校计算机大赛网络技术挑战赛,中国高校计算机大赛-网络技术挑战赛的新跨越...
原标题:中国高校计算机大赛-网络技术挑战赛的新跨越 导语 摩课云竞赛平台助力中国高校计算机大赛-网络技术挑战赛,实现高校竞赛新跨越. 中国高校计算机大赛-网络技术挑战赛 9月15日,2019" ...
- 精选| 2020年5月R新包推荐(第42期)
译:黄小伟,资深大数据分析从业者.目前就职杭州有赞数据分析团队,欢迎加入! 知乎专栏:中国R语言社区 |10000+关注(Top 1) 知乎圈子:数据分析圈 |5000+关注(Top 1) 2020年 ...
- 11月最新新萝卜家园GhostXP SP3 电脑城装机极致版系统2011.11
新萝卜家园GhostXP SP3电脑城装机极致版2011.11+ 一.主要更新: ========================== * 更新了系统补丁和Office2003所有补丁到2011-11 ...
- 天空城网络科技隆重推出“新8G卡王
原装正品 一个月包换,一年保修,品质保证 台湾无线天空城网络科技隆重推出"新8G卡王" 新包装,改进版,低价格,服务更多的客户! 新8G卡王外包装盒: 新8G卡王内包装盒: 全塑封 ...
- 网络乞讨月入4万_13有趣的网络发现– 2013年4月
网络乞讨月入4万 上个月发现了一些很酷的Web开发内容,下面是发现的内容. 享受并发表评论! :) 另请参阅: 有趣的网络发现– 2013年3月 有趣的网络发现– 2013年2月 有趣的网络发现– 2 ...
- 大数据环境下中国网络剧商业模式新特征
摘要:近年来,网络剧作为传统媒体和新媒体融合发展的产物,在市场及政策的双重支持与驱动下,逐渐成为"互联网+"大潮中的佼佼者.依托互联网平台,网络剧发挥其投资少.周期短.见效快.效益 ...
最新文章
- 关于 linux io_uring 性能测试 及其 实现原理的一些探索
- SQL Server DBA工作内容详解
- 第三十五课:多普勒效应和宇宙大爆炸
- 浅析如何才能提高网站的信息交互能力?
- android 状态机的作用,Android 状态机、状态模式 基础框架实现
- POJ2142-The Balance【扩欧】
- 【操作系统】I/O子系统的层次结构和核心I/O子系统
- hht时频谱 matlab 乱序_MATLAB信号频谱分析FFT详解
- Bailian1182 POJ1182 食物链【并查集】
- vmware12安装vmtools
- python 爬糗事百科
- keepalived高可用LVS与Nginx
- Altium Designer 元件封装库与3D模型大全
- 电脑屏幕变色了怎么调回来,电脑屏幕颜色怎么改
- 为什么要放弃 JSP ?
- Qt: 信号与槽机制
- 风险模型 - 变量筛选
- 【POJ 3764】 The xor-longest path
- 利用 yEd 软件做元数据管理
- Win10中Jenkins的安装和基本使用流程
热门文章
- 史上最全的SpringMVC教程,终于整理出来了
- mule esb java实例_基于AnypointStudio IDE开发MuleESB实例
- 双目视觉原理(万字总结,包含Halcon代码)
- C语言中的Input,Output
- 数据存储——手机内部文件存储
- 2015年的高中作文----瑶乡之美(获得湖南省永州市 ''我的中国梦‘ 作文比赛一等奖)
- 关于for循环总是返回最后一个值问题
- CFileDialog、CStdioFile读取文件中的内容,每行按空格依次读入
- java servlet jsp (服务器端编程)
- Python爬虫编程思想(128):使用Appium抓取移动数据(2)--启动Appium服务