Исследователи SentinelLabs обнаружили
ранее неизвестную группировку Metador, которая нацелена на телекоммуникационные компании, интернет-провайдеров и университеты в нескольких странах Ближнего Востока и Африки.
По словам экспертов, цепочки атак группы предназначены для обхода решений безопасности при развертывании вредоносных программ непосредственно в памяти. Злоумышленники хорошо осведомлены о безопасности операций, они могут тщательно сегментировать инфраструктуру для каждой жертвы и быстро применять контрмеры при наличии решений безопасности.
SentinelLabs обнаружила две вредоносные программы для Windows «metaMain» и «Mafalda», а также доказательства существования дополнительного импланта Linux. Злоумышленники использовали инструмент отладки Windows «cdb.exe» для расшифровки и загрузки обеих вредоносных программ в память.
Mafalda — это универсальный имплантат, который принимает до 67 команд, а его многоуровневая обфускация затрудняет детальный анализ. Команды включают:
- операции с файлами;
- чтение содержимого каталогов;
- манипулирование реестром;
- разведку сети и системы;
- передачу данных на сервер управления и контроля (C&C).
Mafalda, вероятно, разработана специальной группой авторов, поскольку SentinelLabs увидела комментарии в коде, адресованные операторам.
Анализ инфраструктуры C2 показал, что Metador использует один внешний IP-адрес для каждой сети жертвы, который используется для управления и контроля либо через HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных, изначально — в виде гипертекстовых документов в формате HTML (т.е. документов, которые могут содержать ссылки, позволяющие переход к другим документам), в настоящее время используется для передачи произвольных данных.
» data-html=»true» data-original-title=»HTTP»>HTTP (metaMain, Mafalda), либо через необработанный Transmission Control Protocol (TCP, протокол управления передачей) – один из основных сетевых протоколов Интернета, который базируется на протоколе IP для доставки пакетов данных. В отличие от IP, TCP – это надежный протокол. Он обеспечивает надежную доставку данных, так как предусматривает установление логического соединения, и в случае потери данных организует повторную передачу. Он гарантирует, что приложение получит данные в точно такой же последовательности, в какой они были отправлены.
Механизм действия протокола можно разделить на три части: установка соединения, передача данных и завершение соединения.
TCP делит потоки данных на так называемые TCP-сегменты, и передает их с помощью IP-протокола. Каждый TCP-сегмент пересылается в одной IP-дейтаграмме. Так как IP не гарантирует, что дейтаграммы будут получены в той же самой последовательности, в которой они были отправлены, TCP осуществляет повторную «сборку» TCP-сегментов на другом конце маршрута, с целью образования непрерывного потока данных. FTP и telnet – это два попуряных приложения, которые используют TCP.
» data-html=»true» data-original-title=»TCP»>TCP (Mafalda). Во всех атаках серверы C&C размещались у голландского хостинг-провайдера LITESERVER.
Эксперты не могут приписать эту деятельность какой-либо существующей APT-группе, но утверждают, что за атаками может стоять высококвалифицированный специалист, который сотрудничает с Metador.