Orta Doğu ve Afrika’daki birden fazla ülkede telekom, internet servis sağlayıcıları ve üniversiteleri hedef alan saldırılarla ilişkilendirilen, kaynağı bilinmeyen, daha önce belgelenmemiş bir tehdit aktörü.
SentinelOne araştırmacıları yeni bir raporda, “Operatörler operasyon güvenliğinin son derece farkında, kurban başına dikkatlice bölümlere ayrılmış altyapıyı yönetiyor ve güvenlik çözümlerinin varlığında karmaşık karşı önlemleri hızla dağıtıyor” dedi.
Siber güvenlik firması grubu kodladı metador kötü amaçlı yazılım örneklerinden birindeki “Ben metayım” dizesine atıfta bulunarak ve komut ve kontrol (C2) sunucularından gelen İspanyolca yanıtları nedeniyle.
Tehdit aktörünün, casusluk amaçları doğrultusunda öncelikle platformlar arası kötü amaçlı yazılım geliştirmeye odaklandığı söyleniyor. Kampanyanın diğer ayırt edici özellikleri, sınırlı sayıda izinsiz giriş ve hedeflere uzun vadeli erişimdir.
Bu, metaMain ve Mafalda adlı, bellek içi çalışmak ve algılamadan kaçınmak için açıkça tasarlanmış iki farklı Windows kötü amaçlı yazılım platformunu içerir. metaMain ayrıca 67 komutu destekleyen esnek bir etkileşimli implant olan Mafalda’yı dağıtmak için bir kanal görevi görür.
metaMain, kendi adına zengin özelliklere sahiptir ve düşmanın uzun vadeli erişimi sürdürmesini, tuş vuruşlarını kaydetmesini, rastgele dosyaları indirip yüklemesini ve kabuk kodunu yürütmesini sağlar.
Mafalda’nın geliştiricileri tarafından aktif olarak sürdürüldüğünün bir işareti olarak, kötü amaçlı yazılım, Nisan ve Aralık 2021’de derlenen iki değişken arasında 13 yeni komut için destek alarak kimlik bilgisi hırsızlığı, ağ keşfi ve dosya sistemi manipülasyonu için seçenekler ekledi.
Saldırı zincirleri, güvenliği ihlal edilmiş ortamdan bilgi toplamak ve onu Mafalda’ya geri yönlendirmek için kullanılan bilinmeyen bir Linux kötü amaçlı yazılımını da içeriyor. İzinsiz girişleri kolaylaştırmak için kullanılan giriş vektörü henüz bilinmiyor.
Dahası, dahili komutun Mafalda belgelerindeki referanslar, geliştiriciler ve operatörler arasında sorumlulukların net bir şekilde ayrılmasını önerir. Nihayetinde, Metador’un atıfları “karmaşık bir gizem” olmaya devam ediyor.
Araştırmacılar Juan Andres Guerrero-Saade, Amitai Ben Shushan Ehrlich ve Aleksandar Milenkoski, “Ayrıca, kötü amaçlı yazılımın teknik karmaşıklığı ve aktif gelişimi, birden fazla çerçeveyi elde edebilen, sürdürebilen ve genişletebilen iyi kaynaklara sahip bir gruba işaret ediyor” dedi.