LES CHERCHEURS DE SENTINELLABS DÉTECTENT UN NOUVEL ACTEUR DE MENACES SE CACHANT DANS LES ISP DEPUIS 2020

Posté le septembre 26, 2022 à 8:50

LES CHERCHEURS DE SENTINELLABS DÉTECTENT UN NOUVEL ACTEUR DE MENACES SE CACHANT DANS LES ISP DEPUIS 2020

Des chercheurs ont détecté un nouvel acteur de menaces compromettant les fournisseurs d’accès à Internet (FAI), les universités et les télécommunications depuis environ deux ans. L’acteur malveillant récemment découvert a été nommé « Metador ».

Découverte d’un nouvel acteur de menaces, Metador

Metador est un acteur de menaces qui cible les organisations opérant en Afrique et au Moyen-Orient. L’acteur semble être une attaque d’espionnage à long terme. Metador adopte deux logiciels malveillants fonctionnant sous Windows, qui, selon les chercheurs, sont « extrêmement complexes ». Il existe également des indications selon lesquelles le logiciel malveillant Linux aurait également pu être utilisé.

Les chercheurs de SentinelLabs ont détecté le logiciel malveillant Metador. Le logiciel malveillant a été identifié dans une entreprise de télécommunications du Moyen-Orient. Cette société de télécommunications avait déjà été ciblée par une dizaine d’autres groupes d’acteurs de menaces basés en Iran et en Chine, dont MuddyWater et Moshen Dragon.

Lorsqu’une analyse de ce logiciel malveillant et de son infrastructure sous-jacente a été effectuée, elle n’a révélé aucun indice permettant de le relier à Metador de manière très fiable. Au contraire, l’une des caractéristiques du groupe est qu’il est conscient de la sécurité des opérations.

SentinelLabs ajoute également dans son rapport que Metador a géré une infrastructure segmentée pour chaque victime. Par ailleurs, il a déployé rapidement des contre-mesures lorsque des solutions de sécurité ont été déployées.

Les chercheurs ont identifié le nouveau groupe d’acteurs de menaces après que l’organisation victime a déployé Singularity. Singularity est une solution de détection et de réponse étendue (XDR) proposée par SentinelOne. La solution a été proposée plusieurs mois après que Metador ait compromis le réseau de l’organisation.

Étant donné que la solution XDR a été déployée après la diffusion du logiciel malveillant, les données sur le vecteur d’infection initial ne sont pas disponibles. Les deux logiciels malveillants qui fonctionnent sous Windows, MetaMain et Mafalda, opèrent dans la mémoire du système et ne laissent aucune trace sur l’hôte affecté.

Les implants personnalisés du logiciel malveillant ont également été décryptés, et l’outil de débogage « cbd.exe » a été utilisé pour les charger en mémoire afin de décrypter et de charger en mémoire les cadres personnalisés de logiciels malveillants Windows « MetaMain » et « Mafalda ».

Mafalda est un implant qui accepte un maximum de 67 commandes. Son fonctionnement est également furtif, ce qui rend difficile son analyse détaillée. Les commandes du logiciel malveillant comprennent les opérations sur les fichiers, l’accès au contenu des répertoires, le transfert de données vers le serveur de commande et de contrôle et l’exploitation du registre.

Selon SentinelLabs, il est probable qu’un groupe d’auteurs spécialisés ait créé Mafalda suite à plusieurs commentaires dans le code qui étaient adressés aux opérateurs. L’implant MetaMain a de même été utilisé pour des opérations « pratiques » telles que la capture de captures d’écran, l’exécution d’actions sur des fichiers, l’enregistrement d’événements clavier et la prise en charge de l’exécution de shellcodes arbitraires.

Le flux d’exécution a été initié par une approche CBD. Cependant, MetaMain prend en charge un large éventail de méthodes selon le rapport de SentinelLabs.

Lors d’une analyse plus approfondie, les analystes ont également trouvé des indications d’un implant personnalisé déployé pour le rebondissement du réseau interne, connu sous le nom de « Cryshell ». Un autre outil Linux qui vole les données des postes de travail et les renvoie à Mafalda a également été détecté.

SentinelLabs n’a pas précisé si Cryshell et l’implant Linux sont différents. Cependant, il souligne une différence dans la poignée de main et la procédure de frappe de port lors de l’identification de Mafalda, indiquant deux outils distincts.

L’opération furtive de Metador

Les implants personnalisés, ainsi que la segmentation stricte de l’infrastructure d’attaque, ont rendu difficile le suivi de l’acteur de menaces Metador. Si l’on ajoute à cela l’utilisation de logiciels malveillants fonctionnant entièrement en mémoire et de LolBins, cela permet à Metador de fonctionner sans être détecté sur les réseaux des victimes pendant une période prolongée. En outre, le logiciel malveillant peut fonctionner pendant longtemps sans éveiller les soupçons.

Cependant, malgré les défis, l’enquête de SentinelLabs a révélé que certains des échantillons de MetaMain obtenus remontent à décembre 2020 par un horodatage dans le journal d’exécution. En outre, la nature complexe du logiciel malveillant et son développement actif le relient à un groupe disposant de ressources importantes, ce qui peut favoriser l’utilisation de ces outils.

L’enquête des chercheurs montre également que les développeurs ont documenté le cadre du logiciel malveillant tout en offrant des conseils à un autre groupe d’opérateurs.

La langue utilisée par les développeurs montre qu’ils parlent couramment l’anglais. Cependant, certains signes indiquent qu’ils ne sont pas de langue maternelle anglaise, car l’espagnol a aussi été utilisé dans le code pour créer Mafalda.

La documentation des commandes Mafalda montre également qu’une équipe dédiée était à l’origine du développement du logiciel malveillant tandis qu’un autre groupe l’exploitait. Cependant, les aspects linguistiques et culturels sont insuffisants pour identifier les acteurs de menaces.

Selon les chercheurs de SentinelLabs, l’acteur à l’origine de Metador semble opérer dans le cadre d’un « arrangement d’entrepreneur haut de gamme ». Il pourrait donc s’agir d’une opération soutenue par un État.

Summary
LES CHERCHEURS DE SENTINELLABS DÉTECTENT UN NOUVEL ACTEUR DE MENACES SE CACHANT DANS LES ISP DEPUIS 2020
Article Name
LES CHERCHEURS DE SENTINELLABS DÉTECTENT UN NOUVEL ACTEUR DE MENACES SE CACHANT DANS LES ISP DEPUIS 2020
Description
Des chercheurs ont détecté un nouvel acteur de menaces compromettant les fournisseurs d'accès à Internet (FAI), les universités et les télécommunications depuis environ deux ans. L'acteur malveillant récemment découvert a été nommé "Metador".
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading