沉寂10年后，“面具”间谍组织再度现身

一个消失了十多年的高级持续性威胁(APT)组织突然重新出现在针对拉丁美洲和中非组织的网络间谍活动中。

这个名为“Careto”或“面具”的组织于2007年开始运作，然后在2013年似乎销声匿迹了。在此期间，这名说西班牙语的威胁演员在31个国家(包括美国、英国、法国、德国、中国和巴西)造成了380名不同的受害者。

一个多产的威胁演员

卡巴斯基的研究人员在10年前跟踪了Careto，最近也发现了它的新攻击，发现Careto以前的受害者包括政府机构、外交办公室和大使馆、能源、石油和天然气公司、研究机构和私募股权公司。

在本周的一篇博客文章中，卡巴斯基报告说，该组织在其复杂的新活动中至少针对了两个组织，一个在中非，另一个在拉丁美洲。卡巴斯基表示，攻击的重点似乎是窃取Chrome、Edge、Firefox和Opera浏览器的机密文件、cookie、表单历史记录和登录数据。这家安全供应商表示，它还观察到攻击者瞄准了whatsapp、微信和Threema等即时通讯应用程序的cookie。

卡巴斯基安全研究员乔治•库切林(Georgy Kucherin)表示:“我们之所以能够发现最新的Careto攻击活动，得益于我们对Careto之前策划的攻击活动的了解，以及在调查这些攻击活动过程中发现的妥协指标。”

他表示:“这些指标可以追溯到10年前——这是相当长的时间。”“对于正在规划网络安全战略的公司来说，至关重要的是不要忽视长期未被发现的高级持续性威胁(apt)活动，因为这些apt可以随时提出全新的独特攻击。”

复杂的定制技术

卡巴斯基将Careto组织描述为使用自定义技术闯入受害者环境，保持持久性并获取信息。

例如，在这两次攻击中，攻击者似乎都通过该组织的MDaemon电子邮件服务器获得了初始访问权限——这是许多中小型企业使用的产品。卡巴斯基表示，攻击者随后在服务器上植入了一个后门，使他们能够控制网络，并利用与HitmanPro Alert恶意软件扫描程序相关的驱动程序来保持持久性。

作为攻击链的一部分，Careto利用了两个受害者使用的安全产品中一个以前未知的漏洞，在每个受害者的网络上分发了四个多模块植入物。卡巴斯基的报告没有指明Careto在新攻击中利用的安全产品或漏洞。但该公司表示，已将Careto最新攻击的全部细节，包括其战术、技术和程序，包含在一份面向客户的私人APT报告中。

库切林说:“目前，我们没有公布产品的名称，以免鼓励网络犯罪分子进行恶意活动。”

多用途模块化植入物

这些植入程序被称为“FakeHMP”、“Careto2”、“Goreto”和“MDaemon植入程序”，它们使攻击者能够在受害者环境中执行各种恶意操作。Kucherin说，例如，MDaemon植入物使威胁行为者能够进行初始侦察活动，提取系统配置信息并执行横向移动命令。他指出，攻击者利用FakeHMP进行麦克风录音和键盘记录，并窃取机密文件和登录数据。Careto2和Goreto也执行键盘记录和截图捕捉。此外，库切林说，Careto2还支持文件盗窃。

库切林在卡巴斯基的博客文章中写道:“新发现的植入程序是复杂的多模式框架，其部署策略和技术既独特又复杂。”“他们的出现表明了卡雷托行动的先进性。”

Careto是卡巴斯基在2024年第一季度APT活动综述中强调的几个威胁组织之一。另一个是Gelsemium，一个利用服务器端漏洞部署Web shell和多个自定义工具的威胁组织，在巴勒斯坦，最近在塔吉克斯坦和吉尔吉斯斯坦。其他受到攻击的组织还包括朝鲜的Kimsuky组织，该组织最近被发现在一次有针对性的网络钓鱼活动中滥用了薄弱的DMARC政策，以及伊朗的OilRig组织，该组织以攻击以色列关键基础设施领域的目标而闻名。

原文始发于微信公众号（HackSee）：沉寂10年后，“面具”间谍组织再度现身