Araştırmacıların ‘Metador’ adını verdiği daha önce bilinmeyen bir tehdit aktörü, yaklaşık iki yıldır telekomünikasyon, internet servis sağlayıcıları (ISP’ler) ve üniversitelere sızıyor.
Metador, Orta Doğu ve Afrika’daki kuruluşları hedef alıyor ve amaçları casusluk için uzun vadeli kalıcılık gibi görünüyor. Grup, “son derece karmaşık” olarak tanımlanan iki Windows tabanlı kötü amaçlı yazılım kullanıyor, ancak Linux kötü amaçlı yazılımının da belirtileri var.
Araştırmacılar Sentinel Laboratuvarları Orta Doğu’daki bir telekomünikasyon şirketinde Metador’u keşfetti ve bu şirket, aralarında Moshen Dragon ve MuddyWater’ın da bulunduğu Çin ve İran menşeli yaklaşık on diğer tehdit aktörü tarafından halihazırda ihlal edilmişti.
Kötü amaçlı yazılımın ve altyapının analizi, Metador’u yeterli güvenle ilişkilendirmek için ipuçları ortaya çıkarmadı; grubun bir özelliği de “operasyon güvenliğinin son derece farkında” olmasıdır.
SentinelLabs, raporlarında Metador’un “kurban başına dikkatlice bölümlere ayrılmış altyapıyı yönettiğini ve güvenlik çözümlerinin varlığında karmaşık karşı önlemleri hızla dağıttığını” belirtiyor.
Araştırmacılar, yeni tehdit grubunu, kurban organizasyonun, SentinelOne’ın genişletilmiş algılama ve yanıt (XDR) çözümü olan Singularity’yi, Metador’un ağını tehlikeye atmasından aylar sonra dağıtmasından sonra keşfettiler.
Bu nedenle, ilk enfeksiyon vektörü ile ilgili ayrıntılar mevcut değildir. ‘MetaMain’ ve ‘Mafalda’ olarak adlandırılan Windows tabanlı iki kötü amaçlı yazılım çerçevesi, yalnızca sistem belleğinde çalışır ve güvenliği ihlal edilmiş ana bilgisayarda şifrelenmemiş iz bırakmaz.
Özel implantların şifresi çözüldü ve iki özel ‘metaMain’in şifresini çözmek ve belleğe yüklemek için bu saldırıda bir LoLBin (karada yaşayan ikili) olarak kullanılan Windows’taki hata ayıklama aracı olan “cdb.exe” aracılığıyla belleğe yüklendi. ‘ ve ‘Mafalda’, iki özel Windows kötü amaçlı yazılım çerçevesi.
Mafalda, 67 adede kadar komutu kabul edebilen çok yönlü bir implant olup, çok katmanlı şaşırtmacası ayrıntılı olarak analiz etmeyi zorlaştırmaktadır.
Komutlar, dosya işlemlerini, dizinlerin içeriğini okuma, kayıt defterini değiştirme, ağ ve sistem keşfi ve komut ve kontrol (C2) sunucusuna veri sızdırmayı içerir.
SentinelLabs, operatörlere gönderilen kodda yorumlar gördüğünden, Mafalda muhtemelen özel bir yazar ekibi tarafından geliştirildi.
MetaMain implantı, ekran görüntüsü alma, dosya eylemleri gerçekleştirme, klavye olaylarını kaydetme gibi daha “uygulamalı” işlemler için kullanılır ve isteğe bağlı kabuk kodu yürütmesini destekler.
Yürütme akışını başlatmak için gözlemlenen durumda CBD yaklaşımı kullanılırken, metMain, SentinelLabs’ bölümünde daha ayrıntılı olarak açıklanan ek yöntemleri destekler. teknik rapor.
Analistler daha derine inerek, dahili ağ sıçraması için kullanılan ‘Cryshell’ adlı özel bir implantın ve iş istasyonlarından veri çalan ve bunları Mafalda’ya geri yönlendiren isimsiz bir Linux aracının belirtilerini buldular.
SentinelLabs, Cryshell ve Linux implantının farklı olup olmadığından emin değil, ancak Mafalda ile kimlik doğrulama sırasında iki farklı araca işaret ederek bağlantı noktası çalma ve el sıkışma prosedüründeki bir farklılığın altını çiziyor.
Saldırı altyapısının özel implantları ve katı segmentasyonu (kurban ve kötü amaçlı yazılım oluşturma başına tek bir IP adresi kullanarak) Metador’u izlemeyi özellikle zorlaştırır.
Tamamen bellekte çalışan kötü amaçlı yazılımın ve LoLBins’in kullanımıyla birleştiğinde, bu, tehdit aktörünün bir uzlaşma şüphesi yaratmadan uzun süreler boyunca kurban ağlarında gizli kalmasını sağlar.
Ancak, bu zorluklara rağmen, SentinelLabs’ın araştırması, yürütme günlüğündeki zaman damgasına göre, Aralık 2020’nin sonlarından bu yana bazı metaMain örneklerinin olduğunu ortaya çıkardı.
Ayrıca, kötü amaçlı yazılımın karmaşıklığı ve aktif gelişimi, araçları daha da geliştirebilecek iyi kaynaklara sahip bir gruba işaret ediyor.
Araştırmacılar ayrıca, geliştiricilerin kötü amaçlı yazılım çerçevelerini belgelediklerini ve “ayrı bir operatör grubu için rehberlik” sağladığını da buldular.
Kullanılan dildeki ipuçları, geliştiricilerin her birinin kendine has özellikleri olan İngilizceyi akıcı bir şekilde konuştuğunu gösteriyor; ancak geliştirici ekibin ana dili İngilizce olmayan kişiler olması muhtemeldir. Arjantin’deki aynı isimli karikatüre atıfta bulunarak Mafalda kodunda İspanyolca da vardı.
Mafalda’nın komutlarına ilişkin belgelere dayanarak, özel bir ekibin kötü amaçlı yazılımı geliştirdiği ve farklı bir grubun çalıştırdığı görülüyor.
Bu durumda dilsel ve kültürel kırıntılar, net bir ilişkilendirme için yetersizdir. Bununla birlikte, SentinelLabs araştırmacıları, Metador’un arkasında, bir ulus-devlet operasyonu için tipik olan gibi “üst düzey bir müteahhit düzenlemesi” olduğu teorisini ortaya koyuyor.