Az bilinen bir siber casusluk aktörü Maske 2019 ve 2022’de iki kez Latin Amerika’da isimsiz bir kuruluşu hedef alan yeni bir dizi saldırıyla ilişkilendirildi.
Kaspersky araştırmacıları Georgy Kucherin ve Marc Rivero, “Mask APT, en az 2007’den bu yana son derece karmaşık saldırılar gerçekleştiren efsanevi bir tehdit aktörüdür.” söz konusu Geçen hafta yayınlanan bir analizde. “Hedefleri genellikle hükümetler, diplomatik kuruluşlar ve araştırma kurumları gibi yüksek profilli kuruluşlardır.”
Careto olarak da bilinen tehdit aktörünün, on yılı aşkın bir süre önce Şubat 2014’te Rus siber güvenlik şirketi tarafından 2007’den bu yana 380’den fazla benzersiz kurbanı hedef aldığı belgelenmişti. Hacking grubunun kökenleri şu anda bilinmiyor.
Hedef ağlara ilk erişim kolaylaştırılmış ziyaretçiyi etkilemek için tarayıcı tabanlı sıfır gün açıklarından yararlanmaları tetiklemek üzere tasarlanmış kötü amaçlı bir web sitesine bağlantılar yerleştiren hedef odaklı kimlik avı e-postaları (örneğin, CVE-2012-0773) aracılığıyla, ardından bunlar YouTube veya gibi zararsız sitelere yönlendirilir. bir haber portalı.
Ayrıca tehdit aktörlerinin Windows, macOS, Android ve iOS’u hedef alabilecek kapsamlı bir kötü amaçlı yazılım cephaneliği geliştirdiğini gösteren bazı kanıtlar da mevcut.
Kaspersky, WorldClient adlı bir MDaemon web posta bileşeninden yararlanarak bir dayanak elde etmek ve kalıcılığı sürdürmek için henüz belirlenemeyen bir yöntem kullanarak The Mask’in 2022’de Latin Amerika’daki bir kuruluşu hedef aldığını tespit ettiğini söyledi.
Araştırmacılar, “Tehdit aktörünün kullandığı kalıcılık yöntemi, istemcilerden gelen özel HTTP isteklerini e-posta sunucusuna işleyen uzantıların yüklenmesine izin veren WorldClient’a dayanıyordu” dedi.
Tehdit aktörünün kendi uzantısını derlediği ve DLL uzantısının yolunu belirterek WorldClient.ini dosyasına kötü amaçlı girişler ekleyerek yapılandırdığı söyleniyor.
Sahte uzantı, keşif, dosya sistemi etkileşimleri ve ek yüklerin yürütülmesini sağlayan komutları çalıştırmak üzere tasarlanmıştır. 2022 saldırısında saldırgan, bu yöntemi kuruluşun ağındaki diğer bilgisayarlara yaymak ve FakeHMP (“hmpalert.dll”) adlı bir implantı başlatmak için kullandı.
Bu, HitmanPro Alert yazılımının (“hmpalert.sys”) meşru bir sürücüsü aracılığıyla, yüklediği DLL’lerin meşruiyetini doğrulayamaması gerçeğinden yararlanılarak gerçekleştirilir, böylece kötü amaçlı yazılımın ayrıcalıklı ortamlara enjekte edilmesi mümkün olur. Sistem başlatma sırasındaki işlemler.
Arka kapı, dosyalara erişmek, tuş vuruşlarını günlüğe kaydetmek ve ele geçirilen ana bilgisayara daha fazla kötü amaçlı yazılım dağıtmak için çok çeşitli özellikleri destekler. Güvenliği ihlal edilen sistemlere gönderilen diğer araçlardan bazıları arasında bir mikrofon kaydedici ve bir dosya hırsızı vardı.
Siber güvenlik şirketinin araştırması ayrıca, aynı kuruluşun 2019 yılında Careto2 ve Goreto kod adlı iki kötü amaçlı yazılım çerçevesinin kullanıldığı daha önce de bir saldırıya maruz kaldığını ortaya çıkardı.
Careto2, 2007 ile 2013 yılları arasında gözlemlenen modüler çerçevenin güncellenmiş bir sürümüdür; ekran görüntüleri almak, belirli klasörlerdeki dosya değişikliklerini izlemek ve verileri saldırgan tarafından kontrol edilen Microsoft OneDrive depolama alanına sızdırmak için çeşitli eklentilerden yararlanır.
Öte yandan Goreto, komutları almak ve bunları makinede yürütmek için belirli aralıklarla Google Drive depolama alanına bağlanan Golang tabanlı bir araç setidir. Bu, dosyaların yüklenmesini ve indirilmesini, Google Drive’dan veri yüklerinin alınmasını ve çalıştırılmasını ve belirtilen bir kabuk komutunun yürütülmesini içerir. Ayrıca Goreto, tuş vuruşlarını ve ekran görüntülerini yakalamak için özellikler içerir.
Hepsi bu değil. Tehdit aktörlerinin, 2024’ün başlarında kimliği belirsiz bir kişi veya kuruluşun makinesine virüs bulaştırmak için “hmpalert.sys” sürücüsünü kullandığı da tespit edildi.
Kaspersky, “Careto, MDaemon e-posta sunucusu aracılığıyla kalıcılık veya HitmanPro Alert sürücüsü aracılığıyla implant yükleme gibi olağanüstü enfeksiyon teknikleri geliştirmenin yanı sıra karmaşık, çok bileşenli kötü amaçlı yazılımlar geliştirme yeteneğine sahip.” dedi.