Forskare vid SentinelLabs upptäckte en ny hotaktör som är mycket sofistikerad i sin verksamhet – som inte lämnar några spår genom att använda dess skadliga program i systemminnet.
De döpte den till Metador och dess associerade Windows-skadliga program “metaMain” och “Mafalda”, som kan ta tiotals kommandon att utföra. De noterade hotaktören som riktar sig mot telekomföretag, internetleverantörer och universitet i Mellanöstern, i syfte att långsiktigt spionera.
Metador Group Dissektion
SentinelLabs forskare prickig en ny hotaktör som lurar i nätverken av Internetleverantörer, telekom och universitet i månader, för förmodligen långvarigt spionage. De döpte den Metador och sa att det är så sofistikerat i sin verksamhet.
Inriktat på institutionerna i Mellanöstern specifikt, upptäckte forskare detta i ett telekomföretag som har sin Singularity XDR-lösning aktiverad – efter att ha blivit utsatt för Metador. Därför kunde de inte ta reda på exakt hur hotaktören äventyrade nätverket.
De noterade vidare, Metador är
När dissekeragruppen har två Windows-skadliga program som heter ‘metaMain‘ och ‘Mafalda‘, körs endast i systemminnet och lämnar således inga spår på den komprometterade värden. De skräddarsyddes, dekrypterades och laddades i systemminnet genom “cdb.exe” – ett legitimt Windows-felsökningsverktyg som nu används i stor utsträckning för attacker av LoLBin-typ.
Mafalda kan utföra 67 operationer, inklusive att läsa kataloger, manipulera registret, spaning av nätverket och exfiltrera data till hackarens kommando- och kontrollserver (C2).
Förutom detta upptäckte forskare också ett anpassat implantat som används för intern nätverksstudsning ‘Cryshell’ och ett namnlöst Linux-verktyg – för att stjäla data från arbetsstationer och kanalisera dem tillbaka till Mafalda.
Alla dessa komplexa element gör analysen svårare, eftersom forskare inte kunde tillskriva Metador till någon befintlig hotgrupp redan. Men med anpassade implantat och strikt segmentering av attackinfrastrukturen, de antar att det är verk av vilken nationalstatsstödd aktör som helst.
