Група за съвременни постоянни заплахи (APT), която не е била в действие повече от десетилетие, внезапно се е появила отново в кампания за кибершпионаж, насочена към организации в Латинска Америка и Централна Африка.
Групата, наречена „Карето“ или „Маската“, започва да действа през 2007 г., след което през 2013 г. сякаш изчезва във въздуха. За този период испаноговорящиата банда е компрометирала около 380 уникални жертви в 31 държави, включително САЩ, Обединеното кралство, Франция, Германия, Китай и Бразилия.
Изследователите от Kaspersky, които са проследили Careto преди 10 години – а също така са забелязали новите му атаки наскоро – са идентифицирали предишните жертви на Careto като включващи правителствени институции, дипломатически служби и посолства, енергийни, петролни и газови компании, изследователски институции и частни капиталови фирми.
В публикация в блога си от тази седмица Kaspersky съобщи, че досега групата се е насочила към поне две организации в новата си сложна кампания – едната в Централна Африка, а другата в Латинска Америка. Фокусът на атаките изглежда е бил върху кражбата на поверителни документи, бисквитки, история на формулярите и данни за вход в браузърите Chrome, Edge, Firefox и Opera, казва Kaspersky. Доставчикът на услуги за сигурност заяви, че е забелязал, че нападателите са се насочили и към бисквитки от приложения за съобщения като WhatsApps, WeChat и Threema.
„Успяхме [да] открием последните кампании на Careto благодарение на познанията ни за предишните кампании, организирани от Careto, както и на показателите за компрометиране, разкрити в хода на разследването на тези кампании“, казва Георги Кучерин, изследовател по сигурността в Kaspersky.
„Тези индикатори датират отпреди 10 години – което е доста дълъг период от време“, казва той. „За компаниите, които планират стратегиите си за киберсигурност, е изключително важно да не пренебрегват дейности на напреднали постоянни заплахи (APT), които не са били забелязани от много време, тъй като тези APT могат да измислят напълно нови, уникални атаки по всяко време.“
Kaspersky охарактеризира участниците в групата Careto като използващи персонализирани техники за проникване както в средите на жертвите, така и за поддържане на постоянство върху тях и за събиране на информация.
Например и при двете атаки нападателите изглежда са получили първоначален достъп чрез имейл сървъра MDaemon на организацията – продукт, който се използва от много малки и средни предприятия. След това нападателите са поставили задна вратичка на сървъра, която им е дала контрол над мрежата, а също така са се възползвали от драйвер, свързан със скенера за зловреден софтуер HitmanPro Alert, за да поддържат постоянство, казва Kaspersky.
Като част от веригата от атаки Careto е използвал неизвестна досега уязвимост в продукт за сигурност, използван от двете жертви, за да разпространи четири многомодулни импланта на машини в мрежата на всяка от жертвите. В доклада на Kaspersky не се посочва продуктът за сигурност или уязвимостта, която Careto е използвала в новата си кампания. Но компанията заяви, че е включила пълни подробности за последните атаки на Careto, включително тактики, техники и процедури, в частен APT доклад за клиенти.
„В момента не споделяме името на продукта, за да не насърчаваме киберпрестъпниците да извършват злонамерена дейност“, казва Кучерин.
Имплантите – наречени „FakeHMP“, „Careto2“, „Goreto“ и „имплант MDaemon“ – са позволили на нападателите да изпълняват разнообразни злонамерени действия в средите на жертвите. Имплантът „MDaemon“ например е позволил на участниците в заплахата да извършват първоначални разузнавателни дейности, да извличат информация за системната конфигурация и да изпълняват команди за странично придвижване, казва Кучерин. Участниците в заплахите използват FakeHMP за целите на запис на микрофон и запис на клавиши, а също и за кражба на поверителни документи и данни за вход, отбелязва той. Както Careto2, така и Goreto също извършват запис на клавиши и заснемане на екранни снимки. Освен това Careto2 поддържа и кражба на файлове, казва Кучерин.
„Новооткритите импланти са сложни мултимодални рамки, с тактики и техники на внедряване, които са уникални и сложни“, пише Кучерин в публикацията в блога на Kaspersky. „Наличието им показва напредналия характер на операциите на Careto“.
Групата Careto е една от няколкото групи за заплахи, които Kaspersky изтъкна в обобщение на дейността на APT през първото тримесечие на 2024 г. Друга е Gelsemium – група за заплахи, която използва експлойти от страна на сървъра, за да внедри уеб обвивка и множество персонализирани инструменти в организации в Палестина, а напоследък и в Таджикистан и Киргизстан. Сред другите в обзора са севернокорейската група Kimsuky, която наскоро беше забелязана да злоупотребява със слабите политики на DMARC в целенасочена фишинг кампания, и иранската група OilRig, която е добре известна с атаките си срещу цели в сектора на критичната инфраструктура на Израел.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.