새로운 해킹 그룹이 중동의 통신사 하나와, 중동 및 아프리카 지역의 여러 인터넷 공급 업체 및 대한 기관을 감염시켰다.새로운 그룹으로 추측되며, 보안 업체 센티넬원(SentinelOne)은 메타도르(Metador)라는 이름을 붙였다.
두 가지 복잡한 멀웨어 플랫폼이 메타도르와 관련이 깊은 것으로 조사됨.
"메타메인(metaMain)과 마팔다(Mafalda)"
| 메타메인 | 마팔다 |
| - 일종의 백도어 - 마우스 및 키보드로 입력되는 정보를 로깅 - 스크린샷 캡쳐와 데이터/파일 유출도 가능. - 마팔다를 설치 |
- 모듈 구성 프레임워크 - 피해자 시스템과 네트워크 정보를 모으는 기능 - 모듈 구성이기에 공격자가 자유롭게 기능 추가 가능 |
| 메타메인과 마팔다 모두 메모리 내에서 작동하고, 하드 드라이브 내에는 아무런 흔적도 남기지 않는다. (디스크 터치 X) | |
메타도르는 피해자들마다 고유 IP 주소를 배정한다는 독특한 특징 존재.
▶ C&C 서버 하나가 발각되더라도 공격 인프라의 다른 부분은 계속 작동
▶ 발견된 C&C 서버를 통해 다른 피해자들이 드러나지 않음.
▶ 분석가들이 공격 단체의 활동 범위를 알아내기 어려움.
[개인 의견]
생략
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 오스트레일리아 대표 통신사 Optus, 대규모 개인정보 유출 (0) | 2022.09.28 |
|---|---|
| [보안이슈] PPT에서의 마우스오버를 통한 멀웨어 전달 기법 발견 (1) | 2022.09.27 |
| [보안이슈] 록빗 3.0 빌더 공개! 랜섬웨어 그룹도 피해갈 수 없는 내부자 위협. (1) | 2022.09.23 |
| [보안이슈] Log4Shell 버금가는, 15년 동안 패치되지 않은 취약점 발견. (0) | 2022.09.22 |
| [보안이슈] 크롬로더 멀웨어 확산 캠페인 진행 중 (0) | 2022.09.21 |