Ein bisher nicht dokumentierter Bedrohungsakteur unbekannter Herkunft wurde mit Angriffen auf Telekommunikationsunternehmen, Internetdienstleister und Universitäten in mehreren Ländern im Nahen Osten und Afrika in Verbindung gebracht.
„Die Betreiber sind sich der Sicherheit ihrer Operationen sehr bewusst, verwalten sorgfältig segmentierte Infrastrukturen pro Opfer und setzen schnell komplizierte Gegenmaßnahmen ein, wenn Sicherheitslösungen vorhanden sind“, so Forscher von SentinelOne in einem neuen Bericht.
Die Cybersecurity-Firma gab der Gruppe den Codenamen Metador in Anlehnung an die Zeichenfolge „I am meta“ in einem ihrer Malware-Samples und aufgrund der spanischsprachigen Antworten der Command-and-Control (C2)-Server.
Der Bedrohungsakteur soll sich bei der Verfolgung seiner Spionageziele vor allem auf die Entwicklung von plattformübergreifender Malware konzentriert haben. Weitere Merkmale der Kampagne sind die begrenzte Anzahl von Einbrüchen und der langfristige Zugang zu den Zielen.
Dazu gehören zwei verschiedene Windows-Malware-Plattformen namens metaMain und Mafalda, die speziell dafür entwickelt wurden, im Speicher zu arbeiten und sich der Entdeckung zu entziehen. metaMain fungiert auch als Kanal für die Verbreitung von Mafalda, einem flexiblen interaktiven Implantat, das 67 Befehle unterstützt.
metaMain wiederum verfügt über eine Vielzahl von Funktionen, die es dem Angreifer ermöglichen, langfristigen Zugriff zu erhalten, Tastenanschläge zu protokollieren, beliebige Dateien herunter- und hochzuladen und Shellcode auszuführen.
Ein Zeichen dafür, dass Mafalda von seinen Entwicklern aktiv gepflegt wird, ist, dass die Malware zwischen zwei Varianten, die im April und Dezember 2021 kompiliert wurden, 13 neue Befehle unterstützt.
Zu den Angriffsketten gehört auch eine unbekannte Linux-Malware, die Informationen aus der kompromittierten Umgebung sammelt und sie an Mafalda weiterleitet. Der Einbruchsvektor, über den die Angriffe durchgeführt wurden, ist noch nicht bekannt.
Außerdem deuten Hinweise in der internen Kommandodokumentation von Mafalda auf eine klare Trennung der Verantwortlichkeiten zwischen Entwicklern und Betreibern hin. Letztendlich bleibt die Zuordnung von Metador jedoch ein „verworrenes Rätsel“.
„Die technische Komplexität der Malware und ihre aktive Entwicklung lassen auf eine gut ausgestattete Gruppe schließen, die in der Lage ist, mehrere Frameworks zu erwerben, zu pflegen und zu erweitern“, so die Forscher Juan Andres Guerrero-Saade, Amitai Ben Shushan Ehrlich und Aleksandar Milenkoski.