Търсене
Close this search box.

Група за съвременни постоянни заплахи (APT), която не е била в действие повече от десетилетие, внезапно се е появила отново в кампания за кибершпионаж, насочена към организации в Латинска Америка и Централна Африка.

Групата, наречена „Карето“ или „Маската“, започва да действа през 2007 г., след което през 2013 г. сякаш изчезва във въздуха. За този период испаноговорящиата банда  е компрометирала  около 380 уникални жертви в 31 държави, включително САЩ, Обединеното кралство, Франция, Германия, Китай и Бразилия.

Плодовит участник в заплахите

Изследователите от Kaspersky, които са проследили Careto преди 10 години – а също така са забелязали новите му атаки наскоро – са идентифицирали предишните жертви на Careto като включващи правителствени институции, дипломатически служби и посолства, енергийни, петролни и газови компании, изследователски институции и частни капиталови фирми.

В публикация в блога си от тази седмица Kaspersky съобщи, че досега групата се е насочила към поне две организации в новата си сложна кампания – едната в Централна Африка, а другата в Латинска Америка. Фокусът на атаките изглежда е бил върху кражбата на поверителни документи, бисквитки, история на формулярите и данни за вход в браузърите Chrome, Edge, Firefox и Opera, казва Kaspersky. Доставчикът на услуги за сигурност заяви, че е забелязал, че нападателите са се насочили и към бисквитки от приложения за съобщения като WhatsApps, WeChat и Threema.

„Успяхме [да] открием последните кампании на Careto благодарение на познанията ни за предишните кампании, организирани от Careto, както и на показателите за компрометиране, разкрити в хода на разследването на тези кампании“, казва Георги Кучерин, изследовател по сигурността в Kaspersky.

„Тези индикатори датират отпреди 10 години – което е доста дълъг период от време“, казва той. „За компаниите, които планират стратегиите си за киберсигурност, е изключително важно да не пренебрегват дейности на напреднали постоянни заплахи (APT), които не са били забелязани от много време, тъй като тези APT могат да измислят напълно нови, уникални атаки по всяко време.“

Сложни, персонализирани техники

Kaspersky охарактеризира участниците в групата Careto като използващи персонализирани техники за проникване както в средите на жертвите, така и за поддържане на постоянство върху тях и за събиране на информация.

Например и при двете атаки нападателите изглежда са получили първоначален достъп чрез имейл сървъра MDaemon на организацията – продукт, който се използва от много малки и средни предприятия. След това нападателите са поставили задна вратичка на сървъра, която им е дала контрол над мрежата, а също така са се възползвали от драйвер, свързан със скенера за зловреден софтуер HitmanPro Alert, за да поддържат постоянство, казва Kaspersky.

Като част от веригата от атаки Careto е използвал неизвестна досега уязвимост в продукт за сигурност, използван от двете жертви, за да разпространи четири многомодулни импланта на машини в мрежата на всяка от жертвите. В доклада на Kaspersky не се посочва продуктът за сигурност или уязвимостта, която Careto е използвала в новата си кампания. Но компанията заяви, че е включила пълни подробности за последните атаки на Careto, включително тактики, техники и процедури, в частен APT доклад за клиенти.

„В момента не споделяме името на продукта, за да не насърчаваме киберпрестъпниците да извършват злонамерена дейност“, казва Кучерин.

Универсални модулни импланти

Имплантите – наречени „FakeHMP“, „Careto2“, „Goreto“ и „имплант MDaemon“ – са позволили на нападателите да изпълняват разнообразни злонамерени действия в средите на жертвите. Имплантът „MDaemon“ например е позволил на участниците в заплахата да извършват първоначални разузнавателни дейности, да извличат информация за системната конфигурация и да изпълняват команди за странично придвижване, казва Кучерин. Участниците в заплахите използват FakeHMP за целите на запис на микрофон и запис на клавиши, а също и за кражба на поверителни документи и данни за вход, отбелязва той. Както Careto2, така и Goreto също извършват запис на клавиши и заснемане на екранни снимки. Освен това Careto2 поддържа и кражба на файлове, казва Кучерин.

„Новооткритите импланти са сложни мултимодални рамки, с тактики и техники на внедряване, които са уникални и сложни“, пише Кучерин в публикацията в блога на Kaspersky. „Наличието им показва напредналия характер на операциите на Careto“.

Групата Careto е една от няколкото групи за заплахи, които Kaspersky изтъкна в обобщение на дейността на APT през първото тримесечие на 2024 г. Друга е Gelsemium – група за заплахи, която използва експлойти от страна на сървъра, за да внедри уеб обвивка и множество персонализирани инструменти в организации в Палестина, а напоследък и в Таджикистан и Киргизстан. Сред другите в обзора са севернокорейската група Kimsuky, която наскоро беше забелязана да злоупотребява със слабите политики на DMARC в целенасочена фишинг кампания, и иранската група OilRig, която е добре известна с атаките си срещу цели в сектора на критичната инфраструктура на Израел.

 

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
26/09/2024

Свързани с Индия хакери ата...

Вероятно действащ от Индия колектив разчита...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!