导 读
卡巴斯基研究人员将多起针对性攻击与一个名为“The Mask”的网络间谍组织联系起来。该 APT 组织于 2019 年和 2022 年针对拉丁美洲的一个组织发起攻击。
威胁组织访问了 MDaemon 电子邮件服务器并使用其 WorldClient 网络邮件组件在受感染的组织内保持持久性。
WorldClient 组件的身份验证面板
卡巴斯基发布的分析报告称:“攻击者使用的持久性方法基于 WorldClient,允许加载处理从客户端到电子邮件服务器的自定义 HTTP 请求的扩展程序。” “这些扩展程序可以通过 C:MDaemonWorldClientWorldClient.ini 文件进行配置”
“The Mask”APT组织(又名“Careto” [西班牙语,意为“丑陋的脸”或“面具”])是一个备受瞩目的受国家支持的黑客组织,其目标一直是政府机构、外交机构、大使馆、外交办公室和能源公司。
卡巴斯基于 2014 年首次发现该 APT 组织,但专家认为该网络间谍活动已持续了五年多。当时,卡巴斯基称这是他们迄今为止见过的最复杂的 APT 行动。
Mask APT 自 2007 年起就已活跃,它展示了使用复杂植入物的能力,通常通过0day漏洞进行传播。
专家们尚未确定该 APT 组织的来源,但他们还注意到该组织讲西班牙语,并且针对全球 30 多个国家。
在最近的攻击中,The Mask 使用恶意扩展进行侦察、文件系统交互和有效载荷执行。
2024 年初,攻击者利用 hmpalert.sys 驱动程序和 Google Updater 部署了一个名为 FakeHMP 的新植入程序,可实现文件检索、键盘记录、屏幕截图和其他有效载荷。他们还部署了麦克风录音机和文件窃取程序。
在调查 2022 年的攻击时,研究人员注意到受害组织在 2019 年也遭受过使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署了 Careto2,然后通过 COM 劫持保持持久性。该框架从虚拟文件系统加载插件,插件名称被哈希化为 DJB2 值。
“距离我们上次看到 Careto 网络攻击已经过去了 10 年,但该攻击者仍然像以前一样强大。这是因为 Careto 能够发明非凡的感染技术,例如通过 MDaemon 电子邮件服务器持久化或通过 HitmanPro Alert 驱动程序植入加载,以及开发复杂的多组件恶意软件。”
报告总结道。“虽然我们无法估计社区需要多长时间才能发现该攻击者的下一次攻击,但我们相信他们的下一次活动将与之前的一样复杂。”
技术报告:
https://securelist.com/careto-is-back/114942/
https://www.virusbulletin.com/uploads/pdf/conference/vb2024/papers/The-Mask-has-been-unmasked-again.pdf
新闻链接:
https://securityaffairs.com/172093/apt/the-mask-apt-is-back.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
CAS(网络无政府主义小队)针对俄罗斯和白俄罗斯组织的攻击分析
https://securelist.com/cyber-anarchy-squad-attacks-with-uncommon-trojans/114990/
黑客利用 Microsoft MSC 文件在巴基斯坦攻击中部署混淆后门
https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html
Wiz 发现一个针对 Linux 环境的新型恶意软件活动,该活动由 Diicot 威胁组织发起
https://www.wiz.io/blog/diicot-threat-group-malware-campaign
Mask APT 组织沉寂 10 年后卷土重来
https://securityaffairs.com/172093/apt/the-mask-apt-is-back.html
俄罗斯黑客利用 RDP 代理在 MiTM 攻击中窃取数据
https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/
一般威胁事件
General Threat Incidents
Androxgh0st 僵尸网络瞄准物联网设备,利用 27 个漏洞
https://hackread.com/androxgh0st-botnet-iot-devices-exploit-vulnerabilities/
黑客利用 Linux eBPF(扩展伯克利数据包过滤器)传播恶意软件
https://hackread.com/hackers-exploit-linux-ebpf-malware-ongoing-campaign/
攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件
https://thehackernews.com/2024/12/attackers-exploit-microsoft-teams-and.html
勒索软件组织威胁要公布数十万罗德岛居民的个人数据
https://www.cybersecuritydive.com/news/rhode-island-ransomware-social-services/735912/
HubPhish 利用 HubSpot 工具针对 20,000 名欧洲用户进行凭证盗窃
https://thehackernews.com/2024/12/hubphish-exploits-hubspot-tools-to.html
新攻击利用 VSCode 扩展和 npm 包
https://www.infosecurity-magazine.com/news/threat-actors-exploit-vscode/
DrayTek 路由器设备中未记录的漏洞被利用于勒索软件活动,危害 300 多个组织
https://www.securityweek.com/undocumented-draytek-vulnerabilities-exploited-to-hack-hundreds-of-orgs/
Cellebrite 打破智能手机安全幻想:一切都可以解锁
https://cybernews.com/security/cellebrite-shatters-smartphone-security-illusion/
漏洞事件
Vulnerability Incidents
BeyondTrust 特权远程访问和远程支持中的一个严重漏洞可能导致任意命令执行
https://www.securityweek.com/beyondtrust-patches-critical-vulnerability-discovered-during-security-incident-probe/
超过 25,000 个 SonicWall VPN 防火墙存在严重缺陷
https://www.bleepingcomputer.com/news/security/over-25-000-sonicwall-vpn-firewalls-exposed-to-critical-flaws/
恶意攻击利用 Apache Struts 2 中最近修补的严重漏洞,导致远程代码执行 (RCE)
https://www.securityweek.com/exploitation-of-recent-critical-apache-struts-2-flaw-begins/
锐捷Reyee云管理平台发现严重漏洞
https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):卡巴斯基报告:Mask APT 组织沉寂 10 年后卷土重来
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论