Investigadores descubren nuevo Metador APT dirigido a empresas de telecomunicaciones, ISP y universidades

Un actor de amenazas previamente indocumentado de origen desconocido se ha relacionado con ataques a empresas de telecomunicaciones, proveedores de servicios de Internet y universidades en varios países de Oriente Medio y África.

"Los operadores son muy conscientes de la seguridad de las operaciones, gestionan cuidadosamente la infraestructura segmentada por víctima e implementan rápidamente contramedidas complejas en presencia de soluciones de seguridad", investigadores de SentinelOne dijo en un nuevo informe.

La empresa de ciberseguridad ha puesto el nombre en código al grupo. Metador con referencia a una cadena "Soy meta" en una de sus muestras de malware y debido a las respuestas en español de los servidores de comando y control (C2).

Se dice que el actor de amenazas se centró principalmente en el desarrollo de malware multiplataforma con fines de espionaje. Otras características de la campaña incluyen intrusiones limitadas y acceso a largo plazo a los objetivos.

Esto incluye dos plataformas diferentes de malware de Windows, llamadas metaMain y Mafalda, que están diseñadas específicamente para trabajar en la memoria y evadir la detección. metaMain también actúa como un canal para implementar Mafalda, un implante interactivo flexible que admite 67 comandos.

metaMain, por su parte, es rico en funciones en sí mismo, lo que permite al adversario mantener acceso a largo plazo, registrar pulsaciones de teclas, descargar y cargar archivos arbitrarios y ejecutar código de shell.

Como señal de que sus desarrolladores mantienen activamente a Mafalda, el malware obtuvo soporte para 13 nuevos comandos entre dos variantes compiladas en abril y diciembre de 2021, agregando opciones para el robo de credenciales, exploración de redes y manipulación del sistema de archivos.

Las cadenas de ataque han implicado aún más a un malware desconocido de Linux que se utiliza para recopilar información del entorno comprometido y rastrearla hasta Mafalda. Aún no se conoce el vector de entrada utilizado para facilitar los allanamientos.

Además, las referencias en la documentación del comando interno de Mafalda sugieren una clara separación de responsabilidades entre los desarrolladores y los operadores. Sin embargo, en última instancia, la atribución de Metador sigue siendo un "misterio ilegible".

“Además, la complejidad técnica del malware y su desarrollo activo sugieren que un grupo bien equipado es capaz de adquirir, mantener y extender múltiples frameworks”, señalaron los investigadores Juan Andres Guerrero-Saade, Amitai Ben Shushan Ehrlich y Aleksandar Milenkoski en .

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad