นักวิจัยค้นพบ Metador APT ใหม่ที่กำหนดเป้าหมายไปยัง Telcos, ISP และมหาวิทยาลัย
ผู้คุกคามที่ไม่ระบุชื่อก่อนหน้านี้เชื่อมโยงกับการโจมตีที่กำหนดเป้าหมายไปยังกิจการโทรคมนาคม ผู้ให้บริการอินเทอร์เน็ต และมหาวิทยาลัยในหลายประเทศในตะวันออกกลางและแอฟริกา นักวิจัยจาก SentinelOne กล่าวในรายงานฉบับใหม่ว่า “ผู้ปฏิบัติงานตระหนักดีถึงความปลอดภัยในการปฏิบัติงาน การจัดการโครงสร้างพื้นฐานที่แบ่งส่วนอย่างระมัดระวังต่อเหยื่อแต่ละราย และปรับใช้มาตรการตอบโต้ที่ซับซ้อนอย่างรวดเร็วในที่ที่มีโซลูชันด้านความปลอดภัย”
บริษัทรักษาความปลอดภัยทางไซเบอร์ตั้งชื่อรหัสว่ากลุ่ม Metador โดยอ้างอิงถึง string “I am meta” ในตัวอย่างมัลแวร์ตัวใดตัวหนึ่ง และเนื่องจากการตอบกลับเป็นภาษาสเปนจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) กล่าวกันว่าผู้คุกคามมุ่งความสนใจไปที่การพัฒนามัลแวร์ข้ามแพลตฟอร์มเป็นหลักในการแสวงหาจุดมุ่งหมายในการจารกรรม จุดเด่นอื่นๆ ของแคมเปญคือจำนวนการบุกรุกที่จำกัดและการเข้าถึงเป้าหมายในระยะยาว
ซึ่งรวมถึงแพลตฟอร์มมัลแวร์ Windows ที่แตกต่างกันสองแพลตฟอร์มที่เรียกว่า metaMain และ Mafalda ซึ่งได้รับการออกแบบมาโดยเฉพาะเพื่อใช้งานการตรวจจับในหน่วยความจำ และหลบเลี่ยง metaMain ยังทำหน้าที่เป็นสื่อกลางในการปรับใช้ Mafalda ซึ่งเป็น implant แบบโต้ตอบที่ยืดหยุ่นซึ่งรองรับคำสั่ง 67 คำสั่ง ในส่วนของ metaMain นั้นมีคุณสมบัติมากมายในตัว ทำให้ฝ่ายตรงข้ามสามารถรักษาการเข้าถึงระยะยาว บันทึกการกดแป้นพิมพ์ ดาวน์โหลดและอัปโหลดไฟล์โดยพลการ และรัน shellcode มัลแวร์ได้รับการสนับสนุนสำหรับคำสั่งใหม่ 13 คำสั่งระหว่างสองตัวแปรที่คอมไพล์ในเดือนเมษายนและธันวาคม 2564 เพิ่มตัวเลือกสำหรับการขโมยข้อมูลประจำตัว การตรวจตราเครือข่าย และการจัดการระบบไฟล์
Attack chains ยังเกี่ยวข้องกับมัลแวร์ Linux ที่ไม่รู้จักซึ่งใช้ในการรวบรวมข้อมูลจากสภาพแวดล้อมที่ถูกบุกรุกและส่งต่อกลับไปยัง Mafalda ยังไม่ทราบเวกเตอร์รายการที่ใช้เพื่ออำนวยความสะดวกในการบุกรุก ยิ่งไปกว่านั้น การอ้างอิงในเอกสารคำสั่งภายในสำหรับ Mafalda แนะนำให้แยกความรับผิดชอบที่ชัดเจนระหว่างนักพัฒนาและผู้ปฏิบัติงาน แม้ว่าในท้ายที่สุด การระบุแหล่งที่มาของ Metador ยังคงเป็น “ปริศนาที่ไม่มีคำตอบ”
นักวิจัย Juan Andres Guerrero-Saade, Amitai Ben Shushan Ehrlich และ Aleksandar Milenkoski กล่าวว่า “นอกจากนี้ ความซับซ้อนทางเทคนิคของมัลแวร์และการพัฒนาอย่างแข็งขันยังชี้ให้เห็นถึงกลุ่มทรัพยากรที่ดีที่สามารถรับการบำรุงรักษา และขยายเฟรมเวิร์กได้หลากหลาย”
ทางบริษัท World information Technology (WIT) ผู้ให้บริการทางด้านความปลอดภัยทางด้านไซเบอร์ (Cybersecurity) พร้อมให้บริการ Solution โดยผู้เชี่ยวชาญทั้งสองด้าน Experineced & Expertise เพื่อเสริมสร้างองค์กรต่างๆให้ตระหนักถึงการคุกคามหรือการโจมตีทางด้านไซเบอร์ WIT พร้อมจะให้คำปรึกษาให้กับ Partner เพื่อที่ก้าวสู่ความสำเร็จธุรกิจไปด้วยกัน
ติดต่อสอบถามข้อมูลเพิ่มเติม
World Information Technology Co.,Ltd.
Tel : 02 237 3555
Email : marketing@wit.co.th
Line : https://lin.ee/nOmg5p9
Source : https://thehackernews.com/2022/09/researchers-uncover-new-metador-apt.html
