Un acteur de cyberespionnage peu connu connu sous le nom de Le masque a été lié à une nouvelle série d’attaques visant une organisation anonyme en Amérique latine à deux reprises en 2019 et 2022.
“The Mask APT est un acteur malveillant légendaire qui mène des attaques très sophistiquées depuis au moins 2007”, ont déclaré les chercheurs de Kaspersky Georgy Kucherin et Marc Rivero. dit dans une analyse publiée la semaine dernière. “Leurs cibles sont généralement des organisations de premier plan, telles que des gouvernements, des entités diplomatiques et des instituts de recherche.”
Également connu sous le nom de Careto, l’acteur malveillant avait déjà été documenté par la société russe de cybersécurité il y a plus de dix ans, en février 2014, comme ayant ciblé plus de 380 victimes uniques depuis 2007. Les origines du groupe de piratage sont actuellement inconnues.
L’accès initial aux réseaux cibles est facilité au moyen d’e-mails de spear phishing intégrant des liens vers un site Web malveillant conçus pour déclencher des exploits Zero Day basés sur le navigateur afin d’infecter le visiteur (par exemple, CVE-2012-0773), après quoi celui-ci est redirigé vers des sites inoffensifs comme YouTube ou un portail d’information.
Il existe également des preuves suggérant que les auteurs de la menace ont développé un arsenal complet de logiciels malveillants capables de cibler Windows, macOS, Android et iOS.
Kaspersky a déclaré avoir identifié The Mask ciblant une organisation latino-américaine en 2022, en utilisant une méthode encore indéterminée pour prendre pied et maintenir la persistance en utilisant un composant de messagerie Web MDaemon appelé WorldClient.
“La méthode de persistance utilisée par l’acteur malveillant était basée sur WorldClient permettant le chargement d’extensions qui gèrent les requêtes HTTP personnalisées des clients vers le serveur de messagerie”, ont indiqué les chercheurs.
L’acteur malveillant aurait compilé sa propre extension et l’aurait configurée en ajoutant des entrées malveillantes dans le fichier WorldClient.ini en spécifiant le chemin d’accès à la DLL de l’extension.
L’extension malveillante est conçue pour exécuter des commandes permettant la reconnaissance, les interactions avec le système de fichiers et l’exécution de charges utiles supplémentaires. Lors de l’attaque de 2022, l’adversaire a utilisé cette méthode pour se propager à d’autres ordinateurs du réseau de l’organisation et lancer un implant baptisé FakeHMP (« hmpalert.dll »).
Ceci est réalisé au moyen d’un pilote légitime du logiciel HitmanPro Alert (“hmpalert.sys”) en profitant du fait qu’il ne parvient pas à vérifier la légitimité des DLL qu’il charge, permettant ainsi d’injecter le malware dans des environnements privilégiés. processus lors du démarrage du système.
La porte dérobée prend en charge un large éventail de fonctionnalités pour accéder aux fichiers, enregistrer les frappes au clavier et déployer d’autres logiciels malveillants sur l’hôte compromis. Certains des autres outils fournis aux systèmes compromis comprenaient un enregistreur de microphone et un voleur de fichiers.
L’enquête de la société de cybersécurité a en outre révélé que la même organisation avait déjà fait l’objet d’une attaque en 2019 impliquant l’utilisation de deux cadres malveillants nommés Careto2 et Goreto.
Careto2 est une version mise à jour du framework modulaire observé entre 2007 et 2013 qui exploite plusieurs plugins pour prendre des captures d’écran, surveiller les modifications de fichiers dans des dossiers spécifiés et exfiltrer les données vers un stockage Microsoft OneDrive contrôlé par un attaquant.
Goreto, quant à lui, est un ensemble d’outils basé sur Golang qui se connecte périodiquement à un stockage Google Drive pour récupérer des commandes et les exécuter sur la machine. Cela inclut le téléchargement et le téléchargement de fichiers, la récupération et l’exécution de charges utiles à partir de Google Drive et l’exécution d’une commande shell spécifiée. De plus, Goreto intègre des fonctionnalités pour capturer des frappes au clavier et des captures d’écran.
Ce n’est pas tout. Les auteurs de la menace ont également été détectés en utilisant le pilote « hmpalert.sys » pour infecter la machine d’un individu ou d’une organisation non identifiée début 2024.
“Careto est capable d’inventer des techniques d’infection extraordinaires, telles que la persistance via le serveur de messagerie MDaemon ou le chargement d’implants via le pilote HitmanPro Alert, ainsi que de développer des logiciels malveillants complexes à plusieurs composants”, a déclaré Kaspersky.