Μετά από μια δεκαετία εξαφάνισης από το τοπίο της κυβερνοασφάλειας, η ομάδα απειλών Careto, γνωστή και ως «The Mask», επανεμφανίστηκε με εξελιγμένες νέες μεθόδους επίθεσης που στοχεύουν οργανισμούς υψηλού προφίλ.
Οι ερευνητές ασφαλείας εντόπισαν νέα στοιχεία της δραστηριότητας του Careto, αποκαλύπτοντας πώς η ομάδα εξέλιξε τις τακτικές της για να υπονομεύσει κρίσιμες υποδομές και να διατηρήσει σταθερή πρόσβαση σε ευαίσθητα δίκτυα.
Η ομάδα Careto διεξάγει προηγμένες κυβερνοεπιθέσεις τουλάχιστον από το 2007, εστιάζοντας παραδοσιακά σε κυβερνητικές υπηρεσίες, διπλωματικές οντότητες και ερευνητικά ιδρύματα. Το Careto γνωστό και ως The Mask επανεμφανίζεται μετά από μια δεκαετία, εξαπολύοντας προηγμένες επιθέσεις σε στόχους υψηλού προφίλ και κρίσιμες υποδομές.
Γνωστός για την ανάπτυξη μηδενικών εκμεταλλεύσεων για την παράδοση πολύπλοκων εμφυτευμάτων, ο Careto παρέμεινε σιωπηλός μετά τις αρχές του 2014, αφήνοντας τους ειδικούς σε θέματα ασφάλειας αβέβαιοι για τις μελλοντικές δραστηριότητες της ομάδας.
Ωστόσο, λεπτομερείς έρευνες σε πρόσφατες στοχευμένες ομάδες επιθέσεων επιβεβαίωσαν ότι η ομάδα διεξάγει ενεργά επιχειρήσεις για άλλη μια φορά, επιδεικνύοντας μια ανησυχητική επιστροφή στο προσκήνιο.
Securelist αναλυτές και ερευνητές αναγνωρισθείς οι πρόσφατες εκστρατείες της ομάδας, με αξιοσημείωτα στοιχεία για επιθέσεις που στόχευαν έναν οργανισμό στη Λατινική Αμερική κατά τη διάρκεια του 2022.
Αυτό που κάνει αυτή την αναζωπύρωση ιδιαίτερα ανησυχητική είναι η εκλεπτυσμένη προσέγγιση του ομίλου για την απόκτηση και τη διατήρηση του ελέγχου σε παραβιασμένα δίκτυα.
MDaemon Email Server Exploitation και WorldClient Persistence
Η νέα μέθοδος μόλυνσης της ομάδας αποκαλύπτει μια στροφή προς τη στόχευση της υποδομής ηλεκτρονικού ταχυδρομείου. Με την παραβίαση του δικτύου ενός θύματος, οι εισβολείς απέκτησαν πρόσβαση στον διακομιστή email MDaemon, έναν κρίσιμο κόμβο επικοινωνίας.
.webp.jpeg "Το Careto Hacker Group επιστρέφει μετά από 10 χρόνια σιωπής με νέες τακτικές επίθεσης")
Αντί να αναπτύξει προφανές κακόβουλο λογισμικό, το Careto χρησιμοποίησε μια έξυπνη τεχνική επιμονής αξιοποιώντας το στοιχείο webmail WorldClient του MDaemon, το οποίο επιτρέπει τη φόρτωση προσαρμοσμένων επεκτάσεων.
Οι εισβολείς συνέταξαν μια κακόβουλη επέκταση και τροποποίησαν το αρχείο διαμόρφωσης WorldClient.ini, προσθέτοντας καταχωρίσεις που ανακατεύθυναν αιτήματα HTTP στον προσαρμοσμένο κώδικά τους.
Συγκεκριμένα, διαμόρφωσαν την παράμετρο CgiBase6 ώστε να δείχνει προς το “/WorldClient/mailbox” και έθεσαν το CgiFile6 στο κακόβουλο DLL τους, επιτρέποντάς τους να αλληλεπιδρούν με την επέκταση μέσω της κανονικής κίνησης του webmail.
Αυτή η τεχνική αποδείχθηκε εξαιρετικά αποτελεσματική επειδή συνδυάστηκε με νόμιμες λειτουργίες ηλεκτρονικού ταχυδρομείου.
Από αυτή τη βάση, η Careto ανέπτυξε το μέχρι τότε άγνωστο εμφύτευμα FakeHMP σε όλο το δίκτυο χρησιμοποιώντας μια εξελιγμένη στρατηγική πλευρικής κίνησης.
Η ομάδα χρησιμοποίησε νόμιμα προγράμματα οδήγησης συστήματος, ιδιαίτερα το πρόγραμμα οδήγησης HitmanPro Alert (hmpalert.sys), για να εισάγει κακόβουλο κώδικα σε προνομιακές διεργασίες των Windows, όπως το winlogon.exe και το dwm.exe.
Το εμφύτευμα FakeHMP παρείχε στους εισβολείς ολοκληρωμένες δυνατότητες επιτήρησης, συμπεριλαμβανομένης της καταγραφής πληκτρολόγησης, λήψης στιγμιότυπου οθόνης, ανάκτησης αρχείων και ανάπτυξης πρόσθετου ωφέλιμου φορτίου.
Αυτή η αναζωπύρωση αποδεικνύει ότι το Careto παραμένει μια τρομερή απειλή, συνδυάζοντας δεκαετίες επιχειρησιακής εμπειρίας με καινοτόμες μεθόδους μόλυνσης που εκμεταλλεύονται τα νόμιμα στοιχεία λογισμικού για μέγιστη μυστικότητα και επιμονή.
