Ein wenig bekannter Cyberspionage-Akteur, bekannt als Die Maske wurde mit einer neuen Reihe von Angriffen in Verbindung gebracht, die zweimal in den Jahren 2019 und 2022 auf eine ungenannte Organisation in Lateinamerika abzielen.
"Die Mask APT ist ein legendärer Bedrohungsakteur, der seit mindestens 2007 hochentwickelte Angriffe durchführt", so die Kaspersky-Forscher Georgy Kucherin und Marc Rivero in einer letzte Woche veröffentlichten Analyse. "Ihre Ziele sind in der Regel hochrangige Organisationen, wie Regierungen, diplomatische Einrichtungen und Forschungsinstitute.
Der auch als Careto bekannte Bedrohungsakteur wurde bereits vor über einem Jahrzehnt, im Februar 2014, von dem russischen Cybersicherheitsunternehmen dokumentiert und hat seit 2007 über 380 einzelne Opfer angegriffen. Die Ursprünge der Hackergruppe sind derzeit unbekannt.
Der anfängliche Zugang zu den Zielnetzwerken wird durch Spear-Phishing-E-Mails erleichtert, die Links zu bösartigen Websites enthalten, die browserbasierte Zero-Day-Exploits auslösen, um den Besucher zu infizieren (z. B. CVE-2012-0773), woraufhin er auf gutartige Websites wie YouTube oder ein Nachrichtenportal umgeleitet wird.
Es gibt auch einige Hinweise darauf, dass die Bedrohungsakteure ein umfassendes Malware-Arsenal entwickelt haben, das Windows, macOS, Android und iOS angreifen kann.
Kaspersky hat festgestellt, dass The Mask im Jahr 2022 auf eine lateinamerikanische Organisation abzielte und eine noch unbestimmte Methode benutzte, um Fuß zu fassen und sich zu halten, indem es eine MDaemon-Webmail-Komponente namens WorldClient nutzte.
"Die von dem Bedrohungsakteur verwendete Persistenzmethode basierte auf WorldClient und ermöglichte das Laden von Erweiterungen, die benutzerdefinierte HTTP-Anfragen von Clients an den E-Mail-Server verarbeiten", so die Forscher.
Der Bedrohungsakteur soll seine eigene Erweiterung kompiliert und konfiguriert haben, indem er bösartige Einträge in die Datei WorldClient.ini einfügte, indem er den Pfad zur DLL der Erweiterung angab.
Die bösartige Erweiterung ist so konzipiert, dass sie Befehle ausführt, die die Erkundung, Interaktionen mit dem Dateisystem und die Ausführung zusätzlicher Nutzlasten ermöglichen. Bei dem Angriff im Jahr 2022 nutzte der Angreifer diese Methode, um sich auf andere Computer im Netzwerk der Organisation auszubreiten und ein Implantat mit der Bezeichnung FakeHMP ("hmpalert.dll") zu starten.
Dies geschieht über einen legitimen Treiber der HitmanPro Alert-Software ("hmpalert.sys"), der die Tatsache ausnutzt, dass er die Legitimität der von ihm geladenen DLLs nicht überprüft, so dass die Malware während des Systemstarts in privilegierte Prozesse injiziert werden kann.
Die Backdoor unterstützt eine breite Palette von Funktionen, um auf Dateien zuzugreifen, Tastatureingaben zu protokollieren und weitere Malware auf dem kompromittierten Host zu installieren. Zu den anderen Tools, die auf die kompromittierten Systeme übertragen wurden, gehörten ein Mikrofon-Rekorder und ein Datei-Stealer.
Die Untersuchung des Cybersecurity-Unternehmens ergab außerdem, dass dieselbe Organisation im Jahr 2019 einem früheren Angriff ausgesetzt war, bei dem zwei Malware-Frameworks mit den Codenamen Careto2 und Goreto verwendet wurden.
Careto2 ist eine aktualisierte Version des modularen Frameworks, das zwischen 2007 und 2013 beobachtet wurde. Es nutzt mehrere Plugins, um Screenshots zu erstellen, Dateiveränderungen in bestimmten Ordnern zu überwachen und Daten in einen von Angreifern kontrollierten Microsoft OneDrive-Speicher zu exfiltrieren.
Goreto hingegen ist ein Golang-basiertes Toolset, das regelmäßig eine Verbindung zu einem Google Drive-Speicher herstellt, um Befehle abzurufen und auf dem Rechner auszuführen. Dazu gehören das Hoch- und Herunterladen von Dateien, das Abrufen und Ausführen von Nutzdaten aus Google Drive und das Ausführen eines bestimmten Shell-Befehls. Darüber hinaus verfügt Goreto über Funktionen zum Aufzeichnen von Tastatureingaben und Bildschirmfotos.
Und das ist noch nicht alles. Es wurde auch festgestellt, dass die Bedrohungsakteure den Treiber "hmpalert.sys" verwenden, um Anfang 2024 den Computer einer nicht identifizierten Person oder Organisation zu infizieren.
"Careto ist in der Lage, außergewöhnliche Infektionstechniken zu erfinden, wie z. B. die Persistenz über den MDaemon-E-Mail-Server oder das Laden von Implantaten über den HitmanPro Alert-Treiber, sowie komplexe Multi-Komponenten-Malware zu entwickeln", so Kaspersky.
