Търсене
Close this search box.

Шпионската група „Маската“ се появява отново след 10-годишно прекъсване

Група за съвременни постоянни заплахи (APT), която не е била в действие повече от десетилетие, внезапно се е появила отново в кампания за кибершпионаж, насочена към организации в Латинска Америка и Централна Африка.

Групата, наречена „Карето“ или „Маската“, започва да действа през 2007 г., след което през 2013 г. сякаш изчезва във въздуха. За този период испаноговорящиата банда  е компрометирала  около 380 уникални жертви в 31 държави, включително САЩ, Обединеното кралство, Франция, Германия, Китай и Бразилия.

Плодовит участник в заплахите

Изследователите от Kaspersky, които са проследили Careto преди 10 години – а също така са забелязали новите му атаки наскоро – са идентифицирали предишните жертви на Careto като включващи правителствени институции, дипломатически служби и посолства, енергийни, петролни и газови компании, изследователски институции и частни капиталови фирми.

В публикация в блога си от тази седмица Kaspersky съобщи, че досега групата се е насочила към поне две организации в новата си сложна кампания – едната в Централна Африка, а другата в Латинска Америка. Фокусът на атаките изглежда е бил върху кражбата на поверителни документи, бисквитки, история на формулярите и данни за вход в браузърите Chrome, Edge, Firefox и Opera, казва Kaspersky. Доставчикът на услуги за сигурност заяви, че е забелязал, че нападателите са се насочили и към бисквитки от приложения за съобщения като WhatsApps, WeChat и Threema.

„Успяхме [да] открием последните кампании на Careto благодарение на познанията ни за предишните кампании, организирани от Careto, както и на показателите за компрометиране, разкрити в хода на разследването на тези кампании“, казва Георги Кучерин, изследовател по сигурността в Kaspersky.

„Тези индикатори датират отпреди 10 години – което е доста дълъг период от време“, казва той. „За компаниите, които планират стратегиите си за киберсигурност, е изключително важно да не пренебрегват дейности на напреднали постоянни заплахи (APT), които не са били забелязани от много време, тъй като тези APT могат да измислят напълно нови, уникални атаки по всяко време.“

Сложни, персонализирани техники

Kaspersky охарактеризира участниците в групата Careto като използващи персонализирани техники за проникване както в средите на жертвите, така и за поддържане на постоянство върху тях и за събиране на информация.

Например и при двете атаки нападателите изглежда са получили първоначален достъп чрез имейл сървъра MDaemon на организацията – продукт, който се използва от много малки и средни предприятия. След това нападателите са поставили задна вратичка на сървъра, която им е дала контрол над мрежата, а също така са се възползвали от драйвер, свързан със скенера за зловреден софтуер HitmanPro Alert, за да поддържат постоянство, казва Kaspersky.

Като част от веригата от атаки Careto е използвал неизвестна досега уязвимост в продукт за сигурност, използван от двете жертви, за да разпространи четири многомодулни импланта на машини в мрежата на всяка от жертвите. В доклада на Kaspersky не се посочва продуктът за сигурност или уязвимостта, която Careto е използвала в новата си кампания. Но компанията заяви, че е включила пълни подробности за последните атаки на Careto, включително тактики, техники и процедури, в частен APT доклад за клиенти.

„В момента не споделяме името на продукта, за да не насърчаваме киберпрестъпниците да извършват злонамерена дейност“, казва Кучерин.

Универсални модулни импланти

Имплантите – наречени „FakeHMP“, „Careto2“, „Goreto“ и „имплант MDaemon“ – са позволили на нападателите да изпълняват разнообразни злонамерени действия в средите на жертвите. Имплантът „MDaemon“ например е позволил на участниците в заплахата да извършват първоначални разузнавателни дейности, да извличат информация за системната конфигурация и да изпълняват команди за странично придвижване, казва Кучерин. Участниците в заплахите използват FakeHMP за целите на запис на микрофон и запис на клавиши, а също и за кражба на поверителни документи и данни за вход, отбелязва той. Както Careto2, така и Goreto също извършват запис на клавиши и заснемане на екранни снимки. Освен това Careto2 поддържа и кражба на файлове, казва Кучерин.

„Новооткритите импланти са сложни мултимодални рамки, с тактики и техники на внедряване, които са уникални и сложни“, пише Кучерин в публикацията в блога на Kaspersky. „Наличието им показва напредналия характер на операциите на Careto“.

Групата Careto е една от няколкото групи за заплахи, които Kaspersky изтъкна в обобщение на дейността на APT през първото тримесечие на 2024 г. Друга е Gelsemium – група за заплахи, която използва експлойти от страна на сървъра, за да внедри уеб обвивка и множество персонализирани инструменти в организации в Палестина, а напоследък и в Таджикистан и Киргизстан. Сред другите в обзора са севернокорейската група Kimsuky, която наскоро беше забелязана да злоупотребява със слабите политики на DMARC в целенасочена фишинг кампания, и иранската група OilRig, която е добре известна с атаките си срещу цели в сектора на критичната инфраструктура на Израел.

 

Източник: DARKReading

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
31/05/2024

Новооткрита китайска група ...

Китайски извършител се е насочил към...
28/05/2024

Сърфирането през рамо - таз...

Надничането през рамо трябва да напомня,...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!