神秘APT组织The Mask重现江湖:十年沉寂后的再度崛起

admin 2024年12月23日16:01:41评论23 views字数 1352阅读4分30秒阅读模式

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

神秘APT组织The Mask重现江湖:十年沉寂后的再度崛起

“被认为是全球最复杂的APT攻击组织之一,The Mask正在重新定义网络间谍活动的新高度。”

2024年12月,卡巴斯基安全研究人员惊人揭露:一个沉寂了近十年的高级持续性威胁(APT)组织“The Mask”(又名Careto,意为“面具”或“丑脸”)重现网络战场。最新攻击目标包括拉丁美洲的政府机构及其他重要组织,展示了其持续威胁全球网络安全的能力。  

🌍 背景:神秘的面具组织

The Mask首次被卡巴斯基在2014年曝光,但早在2007年,这一组织已经活跃,攻击对象涉及政府机构、外交使馆、能源企业等敏感目标。据称,该组织不仅复杂程度超越了当时的其他APT,还展示了对西班牙语的熟练掌握,攻击遍及全球30多个国家。  

在当年的报道中,The Mask凭借零日漏洞利用和复杂植入程序震惊了网络安全界。此后十年间,它似乎销声匿迹,却在2024年以全新战术再次现身。

🎯 最新攻击技术与目标

卡巴斯基的最新报告显示,The Mask利用多种手段攻击目标网络,包括:  

#1. MDaemon邮件服务器持久化  

攻击者通过修改WorldClient Webmail组件,加载恶意扩展,实现持久化控制。  

配置文件路径:`C:MDaemonWorldClientWorldClient.ini`。  

#2. 高级恶意工具FakeHMP  

2024年初,该组织使用hmpalert.sys驱动程序和Google Updater部署新型恶意植入工具FakeHMP,具备以下功能:  

文件检索  

键盘记录  

截屏  

进一步植入载荷  

#3. Careto2和Goreto框架  

在2019和2022年的攻击中,The Mask使用了新框架Careto2和Goreto,通过COM劫持实现持久化。插件从虚拟文件系统加载,文件名使用DJB2哈希算法加密。  

🔍 攻击模式与工具亮点

The Mask的攻击链条展示了其非凡的技术能力:  

1. 侦查与部署:通过邮件服务器或第三方驱动程序隐藏植入。  

2. 多组件架构:例如FakeHMP,支持模块化扩展。  

3. 复杂插件管理:使用虚拟文件系统加载恶意插件,减少检测风险。  

4. 多种功能集成:从录音、截屏到窃取文件,无所不能。  

🌐 全球影响与安全启示

The Mask的复出对全球网络安全领域敲响了警钟,尤其是在拉丁美洲、欧洲和亚洲地区,其间谍活动可能引发更广泛的地缘政治影响。  

为什么The Mask如此令人担忧?

1. 长期沉寂后仍保持技术领先:展示了其背后强大的资源支持。  

2. 攻击目标敏感:政府、外交和能源机构都是国家关键基础设施。  

3. 技术复杂度高:使用定制框架和工具,规避传统安全防护。  

推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。

神秘APT组织The Mask重现江湖:十年沉寂后的再度崛起神秘APT组织The Mask重现江湖:十年沉寂后的再度崛起

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):神秘APT组织“The Mask”重现江湖:十年沉寂后的再度崛起

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月23日16:01:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   神秘APT组织The Mask重现江湖:十年沉寂后的再度崛起https://cn-sec.com/archives/3543192.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息