Orta Doğu ve Afrika’nın birden fazla sektörünü hedef alan, daha önce belgesiz kalmış ve kaynağı bilinmeyen, bilinmeyen bir tehdit aktörü tarafından çok sayıda saldırı rapor edildi. Bu saldırılar aşağıdaki sektörleri etkiledi: –
- Telekom
- internet servis sağlayıcıları
- Üniversiteler
Operatörlerin aşağıdaki üç kilit noktayı net bir şekilde anlamaları çok önemlidir:
- Güvenli operasyonlar önemli bir husustur.
- Mağdur başına altyapının dikkatli bir şekilde bölümlendirilmesi yönetilmelidir.
- Güvenlik çözümleri mevcut olduğunda bile karmaşık karşı önlemlerin hızlı dağıtımı.
Enfeksiyon Zinciri
Casusluk çıkarlarının bir parçası olarak, tehdit aktörü çoğunlukla bilgi elde etmek amacıyla platformlar arası kötü amaçlı yazılım geliştirmeye odaklandı. Ayrıca, uzun süreli erişim ve sınırlı sayıda izinsiz giriş, kampanyanın ayırt edici özellikleridir.
Windows’u hedefleyen toplam iki farklı kötü amaçlı yazılım platformu dahildir: –
Yukarıda bahsedildiği gibi, bu platformların her biri özel olarak bellek içi çalışacak ve kullanıldıklarında varlıklarını gizleyecek şekilde tasarlanmıştır. MetaMain’in ayrıca Mafalda’nın konuşlandırılması için bir kanal görevi gördüğü belirtilmelidir.
Bu esnek implant, 67’den fazla farklı komuta yanıt verecek şekilde programlanabilir ve etkileşimli olacak şekilde tasarlanmıştır.
MetaMain’in kendi başına sunabileceği bir dizi özellik vardır: –
- Uzun süreli erişimi koruyun
- Tuş vuruşlarını günlüğe kaydet
- İsteğe bağlı dosyaları indirin
- İsteğe bağlı dosyalar yükleyin
- Kabuk kodunu yürütün
Saldırı zinciri, bilinmeyen bir Linux kötü amaçlı yazılımının dahil edilmesiyle daha da karmaşık hale geldi. Bu kötü amaçlı yazılım, güvenliği ihlal edilmiş sistemlerden buradayken, tüm önemli bilgileri toplar ve Mafalda implantına geri iletir.
Ancak şimdiye kadar güvenlik uzmanları, bilgisayar korsanlarının bu izinsiz girişleri kolaylaştırmak için kullanıldığı giriş vektöründen habersizdi.
Mafalda Arka Kapı Komutları
Mafalda, daha yeni varyantının bir parçası olarak yalnızca aşağıdaki komutları sunar: –
- Komut 55: Bir dosya veya dizini saldırgan tarafından sağlanan bir kaynak dosya sistemi konumundan saldırgan tarafından sağlanan bir hedef dosya sistemi konumuna kopyalar.
- Komut 60: “%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State içeriğini okur
- ve içeriği loot\ ön ekiyle C2’ye gönderir.
- Komut 63: Ağ ve sistem yapılandırma keşiflerini yürütür
- Komut 67: Kurbanın ağında bulunan başka bir implanttan veri alır ve verileri C2’ye gönderir
Mafalda’nın geliştiricileri ve operatörleri arasındaki sorumlulukların net bir şekilde ayrıldığı, dahili komutların belgelerinde görülebilir. Sonuç olarak, Metador’un atfı, öngörülebilir gelecek için bir sır olarak kalacaktır.
Bunun dışında, Mafalda’nın dahili dokümantasyonundan, kendini işine adamış bir geliştirici ekibinin implantı sürekli olarak koruduğu ve geliştirdiği görülmektedir.
Sıfır Güven Ağı ile Siber Güvenlik – Ücretsiz E-Kitap İndirin