攻击微信！超级网络间谍 The Mask时隔10年重出江湖

卡巴斯基全球研究与分析团队 (GReAT) 在5月9日发布的《2024年第一季度APT趋势报告》中披露了一个新的发现，十多年来失踪的高级持续威胁(APT)组织突然在针对拉丁美洲和中非组织的网络间谍活动中重新出现。这个名为“Careto”或“ The Mask ”的间谍组织，于2007年开始运作，然后在2013年似乎消失得无影无踪。在此期间，这个讲西班牙语的威胁行为者在美国、英国、法国、德国、中国和巴西等31个国家/地区造成了约380名不同的受害者。

报告认为，Careto是一个高度复杂的威胁行为者，该威胁行为者最后一次被记录的活动是在2013年。此后，没有发布有关Careto活动的信息。最近的威胁追踪使卡巴研究团队能够深入了解Careto在2024年、2022年和2019年开展的活动。卡巴在其私有专属报告中提供了这些活动的详细描述，重点关注攻击者如何执行初始感染、横向移动、恶意软件执行和数据渗漏活动。值得注意的是，Careto威胁行为者使用了自定义技术，例如使用MDaemon电子邮件服务器来维持组织内部的立足点，或利用HitmanPro Alert驱动程序来实现持久性。总的来说，研究者发现Careto使用三种复杂的植入程序进行恶意活动，卡巴将其称为“FakeHMP”、“Careto2”和“Goreto”。研究团队认为该组织的复杂程度甚至高于Duqu，The Mask是当前最先进的APT组织之一。

受害者遍及全球31国

卡巴斯基研究人员在10年前追踪过Careto，最近也发现了它的新攻击，他们发现Careto之前的受害者包括政府机构、外交机构和大使馆、能源、石油和天然气公司、研究机构和私募股权公司。

卡巴斯基在本周的《2024年第一季度APT趋势报告》中称，到目前为止，该组织在其复杂的新活动中至少针对了两个组织——一个位于中非，另一个位于拉丁美洲。卡巴斯基表示，攻击的重点似乎是窃取Chrome、Edge、Firefox和Opera浏览器的机密文档、cookie、表单历史记录和登录数据。该安全供应商表示，它还观察到攻击者针对WhatsApp、微信和Threema等通讯应用程序的cookie。

卡巴斯基安全研究员Georgy Kucherin表示：“我们能够发现最新的Careto活动，这要归功于我们对Careto 之前策划的活动的了解，以及在调查这些活动过程中发现的攻击指标。”

“这些指标可以追溯到1年前——这是相当长的一段时间，”他说。“对于正在规划网络安全战略的公司来说，至关重要的是不要忽视已经很久没有出现过的高级持续威胁(APT)活动，因为这些APT可以随时发起全新的、独特的攻击。”

高度复杂的定制技术

卡巴斯基将Careto组织的攻击者描述为使用定制技术闯入受害者环境，保持对受害者的持久性并获取信息。

例如，在这两次攻击中，攻击者似乎都是通过该组织的MDaemon电子邮件服务器（许多中小型企业使用的产品）获得了初始访问权限。卡巴斯基表示，攻击者随后在服务器上植入后门，使他们能够控制网络，并利用与HitmanPro Alert恶意软件扫描程序相关的驱动程序来保持持久性。

该威胁组织不仅仅只针对Windows系统，研究者高度怀疑存在对移动端的威胁，但未找到确切的样本和证据。

作为攻击链的一部分，Careto利用了两个受害者使用的安全产品中以前未知的漏洞，在每个受害者网络的计算机上分发了四个多模块植入程序。卡巴斯基的报告没有指出Careto在其新活动中利用的安全产品或漏洞。但该公司表示，它已在给客户的专属APT报告中介绍了Careto最新攻击的全部细节，包括其策略、技术和程序。

“目前，我们不会透露该产品的名称，以免鼓励网络犯罪分子进行恶意活动，”库切林说。

植入程序多功能模块化

这些植入程序被称为“FakeHMP”、“Careto2”、“Goreto”和“MDaemon 植入程序”，使攻击者能够在受害者环境中执行各种恶意操作。Kucherin表示，例如，MDaemon植入程序使威胁行为者能够进行初步侦察活动、提取系统配置信息并执行横向移动命令。他指出，威胁行为者正在使用FakeHMP进行麦克风录音和键盘记录，以及窃取机密文档和登录数据。Careto2和Goreto还执行键盘记录和屏幕截图捕获。Kucherin表示，此外，Careto2还支持文件盗窃。

“新发现的植入程序是复杂的多模式框架，其部署策略和技术既独特又复杂，”库切林在卡巴斯基的博客文章中写道。“他们的存在表明了Careto运营的先进性。”

Careto组织是卡巴斯基在2024年第一季度APT活动综述中强调的几个威胁组织之一。另一个是Gelsemium，该威胁组织一直利用服务器端漏洞在服务器上部署Web shell和多个自定义工具。综述中的其他组织包括朝鲜的Kimsuky组织和伊朗的OilRig组织，该组织最近被发现在有针对性的网络钓鱼活动中滥用薄弱的DMARC策略，该组织因攻击以色列关键基础设施部门内的目标而闻名。

卡巴斯基在2024年2月10日的一篇《Careto/Mask APT：常见问题解答》中表示，The Mask的特殊之处在于攻击者使用的工具集的复杂性。这包括极其复杂的恶意软件、rootkit、bootkit、Mac和Linux版本以及可能的Android和iPad/iPhone(Apple iOS)版本。

此外，The Mask对旧版卡巴斯基产品使用定制攻击，以便隐藏在系统中。这使其复杂程度高于Duqu，使The Mask成为当前最先进的APT之一。这一因素和其他几个因素使其相信这可能是一次由国家资助的行动。

参考资源：

1.https://securelist.com/apt-trends-report-q1-2024/112473/

2.https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus

3.https://securelist.com/the-caretomask-apt-frequently-asked-questions/58254/