Исследователи SentinelLabs обнаружили невиданного ранее агента угроз, которого назвали "Metador".
- Metador в основном нацелен на телекоммуникационные компании, интернет-провайдеров и университеты в нескольких странах Ближнего Востока и Африки.
- Операторы хорошо осведомлены о безопасности операций, управляют тщательно сегментированной инфраструктурой для каждой жертвы и быстро развертывают сложные контрмеры в присутствии решений безопасности.
- Цепочки атак Metador разработаны таким образом, чтобы обойти встроенные решения безопасности и развернуть платформы вредоносного ПО непосредственно в памяти.
- Исследователи SentinelLabs обнаружили варианты двух давно существующих вредоносных платформ для Windows, а также признаки наличия еще одного Linux-имплантата.
- На данный момент нет четкой и надежной атрибуции. Следы указывают на нескольких разработчиков и операторов, говорящих как на английском, так и на испанском языках, а также на разнообразные культурные ссылки, включая тексты британского поп-панка и аргентинские политические карикатуры.
- Хотя Metador, судя по всему, в первую очередь нацелен на обеспечение операций по сбору информации в соответствии с государственными интересами, мы бы указали на возможность наличия высококлассных подрядчиков, не привязанных к конкретной стране.
Indicators of Compromise
IPv4
- 5.2.64.74
- 5.2.77.52
- 5.2.78.14
Domains
- networkselfhelp.com
SHA1
- 00f2176edb17d970005fc70a66ecc587a84f8620
- 0397b92bd8606e2b11ec6518c2df43decaf02382
- 0f021a6c32f4d9053a9d8fb36749f8c434376fd1
- 3e2724b9a8ecf05661d91b02accdc1da7e43d513
- 9fc7df2b2539ec3abeb90848903ad608a1101345
- b5d35c1e75330c0b26ebbd562191beb7f03d726b
- e7f68dc6b8e4cabe5773a5b0b2306a404706de48
- fdec8be5d5f2693fbfa36fdf38aa8f9932c6a34a