研究人员称之为“Metador”的一个以前未知的威胁因素已经入侵电信、互联网服务提供商(ISP)和大学大约两年了。

Metador的目标是中东和非洲的组织,他们的目的似乎是长期坚持间谍活动。该组织使用了两种基于Windows的恶意软件,它们被描述为“极其复杂”,但也有迹象表明存在Linux恶意软件。

SentinelLabs的研究人员在中东的一家电信公司发现了Metador,该公司已经被来自伊朗的大约10个其他威胁行为者攻破,其中包括Moshen Dragon和MuddyWater。

对恶意软件和基础设施的分析没有揭示出足够可信地将Metador归因于该组织的线索,该组织的一个特征是它“高度关注运营安全”。

SentinelLabs在他们的报告中指出,Metador正在“管理每个受害者精心分割的基础设施,并在存在安全解决方案的情况下快速部署复杂的对策。” 研究人员是在受害组织部署的 Singularity 之后发现新的威胁组的,SentinelOne 的扩展检测和响应(XDR)解决方案是在 Metador 入侵其网络几个月后。

因此,关于最初感染媒介的细节还不清楚。这两个基于Windows的恶意软件框架,被称为“MetaMain”和“Mafalda”,只在系统内存中运行,不会在被入侵的主机上留下未加密的痕迹。

自定义植入通过“cdb.exe”解密并加载到内存中,CDB . exe是Windows中的调试工具,在这次攻击中用作lol bin(living-off-the land binary),以解密并在内存中加载两个自定义的“metaMain”和“Mafalda”,这是两个自定义的Windows恶意软件框架。

Mafalda 是一个多功能的植入物,可以接受多达67个命令,而它的多层混淆使得它很难进行详细分析。这些命令包括文件操作、读取目录内容、操作注册表、侦察网络和系统以及将数据过滤到命令和控制(C2)服务器。

Mafalda 很可能是由一个专门的作者团队开发的,正如SentinelLabs在发给运营商的代码中看到的评论。

Mafalda 运行图

MetaMain植入物用于更多的“动手”操作,如截图、执行文件操作、记录键盘事件,并支持任意外壳代码执行。

虽然CBD方法在观察案例中用于启动执行流程,metMain支持的技术报告中更详细描述的其他方法。

基于CBD的执行流程

通过深入挖掘,分析师们发现了一种用于内部网络反弹的定制植入物,名为“Cryshell”和一种未命名的Linux工具,该工具从工作站窃取数据,并将其传输回Mafalda。

SentinelLabs 不确定 Cryshell 和 Linux implant 是否不同,但强调了在Mafalda认证期间端口敲门和握手程序的差异,指出了两种不同的工具。

Mafalda Cryshell认证程序

攻击基础设施的定制植入和严格分段(每个受害者和恶意软件版本使用一个IP地址)使得跟踪Metador特别具有挑战性。

结合使用完全在内存和LoLBins中运行的恶意软件,这使得威胁参与者可以长时间隐藏在受害者网络中,而不会引起妥协的怀疑。

然而,尽管存在这些困难,SentinelLabs的调查显示,根据执行日志中的时间戳,一些MetaMain样本的日期可以追溯到2020年12月下旬。

此外,恶意软件的复杂性及其活跃的发展表明,有一个资源丰富的团体可以进一步改进这些工具。

研究人员还发现,开发人员记录了恶意软件框架,并为“一组独立的运营商提供了指导” 所用语言的线索表明开发人员英语流利,每个人都有自己的语言习惯;然而,开发团队很可能有非英语母语者。

西班牙语也出现在Mafalda代码中,指的是阿根廷同名漫画。根据Mafalda命令的文档,似乎有一个专门的团队开发恶意软件,而另一个小组在操作它。

Mafalda 操作员的信息

在这种情况下,语言和文化的痕迹不足以明确归属。然而,SentinelLabs的研究人员推断,Metador 背后是“一个高端承包商的安排”,就像一个典型的民族国家行动。

潜伏在ISP网络中数月的新黑客组织“Metador”相关推荐

  1. 俄国新黑客组织很狂,搞事前还接受采访

    本文转载自量子位 太狂了,俄罗斯最新黑客组织声称未来"勒索行动的成功不可避免". 这个新组织名叫BlackMatter (黑物质). 从黑暗面(DarkSide).REvil到黑物 ...

  2. win10找不到wifi网络_10月微信新方法!手机搜索不到wifi网络,微信这样设置一下,走到哪里都能蹭网...

    阅读本文前,请您先点击上面的"蓝色字体",再点击"关注",这样您就可以继续免费收到文章了.每天都会有分享,都是免费订阅,请您放心关注. [免责声明]本文部分文字 ...

  3. 黑客组织称7月将售新入侵工具 价格超2.2万美元

    北京时间5月31日消息,之前一黑客组织发布网络入侵工具,安全专家相信这些工具是从美国国家安全局(NSA)窃取的.本周二,该组织对外宣称,计划今年7月将一些新代码出售给客户,这些客户愿意花钱购买,价格超 ...

  4. 2020中国高校计算机大赛网络技术挑战赛,中国高校计算机大赛-网络技术挑战赛的新跨越...

    原标题:中国高校计算机大赛-网络技术挑战赛的新跨越 导语 摩课云竞赛平台助力中国高校计算机大赛-网络技术挑战赛,实现高校竞赛新跨越. 中国高校计算机大赛-网络技术挑战赛 9月15日,2019" ...

  5. 精选| 2020年5月R新包推荐(第42期)

    译:黄小伟,资深大数据分析从业者.目前就职杭州有赞数据分析团队,欢迎加入! 知乎专栏:中国R语言社区 |10000+关注(Top 1) 知乎圈子:数据分析圈 |5000+关注(Top 1) 2020年 ...

  6. 11月最新新萝卜家园GhostXP SP3 电脑城装机极致版系统2011.11

    新萝卜家园GhostXP SP3电脑城装机极致版2011.11+ 一.主要更新: ========================== * 更新了系统补丁和Office2003所有补丁到2011-11 ...

  7. 天空城网络科技隆重推出“新8G卡王

    原装正品 一个月包换,一年保修,品质保证 台湾无线天空城网络科技隆重推出"新8G卡王" 新包装,改进版,低价格,服务更多的客户! 新8G卡王外包装盒: 新8G卡王内包装盒: 全塑封 ...

  8. 网络乞讨月入4万_13有趣的网络发现– 2013年4月

    网络乞讨月入4万 上个月发现了一些很酷的Web开发内容,下面是发现的内容. 享受并发表评论! :) 另请参阅: 有趣的网络发现– 2013年3月 有趣的网络发现– 2013年2月 有趣的网络发现– 2 ...

  9. 大数据环境下中国网络剧商业模式新特征

    摘要:近年来,网络剧作为传统媒体和新媒体融合发展的产物,在市场及政策的双重支持与驱动下,逐渐成为"互联网+"大潮中的佼佼者.依托互联网平台,网络剧发挥其投资少.周期短.见效快.效益 ...

最新文章

  1. 关于 linux io_uring 性能测试 及其 实现原理的一些探索
  2. SQL Server DBA工作内容详解
  3. 第三十五课:多普勒效应和宇宙大爆炸
  4. 浅析如何才能提高网站的信息交互能力?
  5. android 状态机的作用,Android 状态机、状态模式 基础框架实现
  6. POJ2142-The Balance【扩欧】
  7. 【操作系统】I/O子系统的层次结构和核心I/O子系统
  8. hht时频谱 matlab 乱序_MATLAB信号频谱分析FFT详解
  9. Bailian1182 POJ1182 食物链【并查集】
  10. vmware12安装vmtools
  11. python 爬糗事百科
  12. keepalived高可用LVS与Nginx
  13. Altium Designer 元件封装库与3D模型大全
  14. 电脑屏幕变色了怎么调回来,电脑屏幕颜色怎么改
  15. 为什么要放弃 JSP ?
  16. Qt: 信号与槽机制
  17. 风险模型 - 变量筛选
  18. 【POJ 3764】 The xor-longest path
  19. 利用 yEd 软件做元数据管理
  20. Win10中Jenkins的安装和基本使用流程

热门文章

  1. 史上最全的SpringMVC教程,终于整理出来了
  2. mule esb java实例_基于AnypointStudio IDE开发MuleESB实例
  3. 双目视觉原理(万字总结,包含Halcon代码)
  4. C语言中的Input,Output
  5. 数据存储——手机内部文件存储
  6. 2015年的高中作文----瑶乡之美(获得湖南省永州市 ''我的中国梦‘ 作文比赛一等奖)
  7. 关于for循环总是返回最后一个值问题
  8. CFileDialog、CStdioFile读取文件中的内容,每行按空格依次读入
  9. java servlet jsp (服务器端编程)
  10. Python爬虫编程思想(128):使用Appium抓取移动数据(2)--启动Appium服务