大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
“被认为是全球最复杂的APT攻击组织之一,The Mask正在重新定义网络间谍活动的新高度。”
2024年12月,卡巴斯基安全研究人员惊人揭露:一个沉寂了近十年的高级持续性威胁(APT)组织“The Mask”(又名Careto,意为“面具”或“丑脸”)重现网络战场。最新攻击目标包括拉丁美洲的政府机构及其他重要组织,展示了其持续威胁全球网络安全的能力。
🌍 背景:神秘的面具组织
The Mask首次被卡巴斯基在2014年曝光,但早在2007年,这一组织已经活跃,攻击对象涉及政府机构、外交使馆、能源企业等敏感目标。据称,该组织不仅复杂程度超越了当时的其他APT,还展示了对西班牙语的熟练掌握,攻击遍及全球30多个国家。
在当年的报道中,The Mask凭借零日漏洞利用和复杂植入程序震惊了网络安全界。此后十年间,它似乎销声匿迹,却在2024年以全新战术再次现身。
🎯 最新攻击技术与目标
卡巴斯基的最新报告显示,The Mask利用多种手段攻击目标网络,包括:
#1. MDaemon邮件服务器持久化
攻击者通过修改WorldClient Webmail组件,加载恶意扩展,实现持久化控制。
配置文件路径:`C:MDaemonWorldClientWorldClient.ini`。
#2. 高级恶意工具FakeHMP
2024年初,该组织使用hmpalert.sys驱动程序和Google Updater部署新型恶意植入工具FakeHMP,具备以下功能:
文件检索
键盘记录
截屏
进一步植入载荷
#3. Careto2和Goreto框架
在2019和2022年的攻击中,The Mask使用了新框架Careto2和Goreto,通过COM劫持实现持久化。插件从虚拟文件系统加载,文件名使用DJB2哈希算法加密。
🔍 攻击模式与工具亮点
The Mask的攻击链条展示了其非凡的技术能力:
1. 侦查与部署:通过邮件服务器或第三方驱动程序隐藏植入。
2. 多组件架构:例如FakeHMP,支持模块化扩展。
3. 复杂插件管理:使用虚拟文件系统加载恶意插件,减少检测风险。
4. 多种功能集成:从录音、截屏到窃取文件,无所不能。
🌐 全球影响与安全启示
The Mask的复出对全球网络安全领域敲响了警钟,尤其是在拉丁美洲、欧洲和亚洲地区,其间谍活动可能引发更广泛的地缘政治影响。
为什么The Mask如此令人担忧?
1. 长期沉寂后仍保持技术领先:展示了其背后强大的资源支持。
2. 攻击目标敏感:政府、外交和能源机构都是国家关键基础设施。
3. 技术复杂度高:使用定制框架和工具,规避传统安全防护。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):神秘APT组织“The Mask”重现江湖:十年沉寂后的再度崛起
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论