Группа кибершпионов “Careto”, также известная как “The Mask”, вновь заявила о себе, возобновив свою активность после десятилетнего перерыва. Они начали свои операции в 2007 году и исчезли в 2013 году, за это время поразив 380 уникальных целей в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию.
По даннымисследователей “Лаборатории Касперского”, которые отслеживали деятельность Careto десять лет назад и недавно снова обнаружили атаки этой группы, киберпреступники активизировалась, нацелившись на организации в Латинской Америке и Центральной Африке.
В новой кампании хакеры стремились украсть конфиденциальные документы, данные форм автозаполнения, историю входов в систему и cookie-файлы из браузеров Chrome, Edge, Firefox и Opera. Также злоумышленники были нацелены на cookie-файлы из мессенджеров, таких как WhatsApp, WeChat и Threema.
Георгий Кучерин, исследователь безопасности в “Лаборатории Касперского”, отмечает: “Мы смогли обнаружить последние кампании Careto благодаря нашим знаниям о предыдущих кампаниях, организованных группировкой, а также признакам компрометации, обнаруженным в ходе расследования этих кампаний”
Особенностью новых атак является использование злоумышленниками собственных техник для взлома сетей организаций. Начальный доступ был получен через сервер электронной почты MDaemon, после чего на сервер был установлен бэкдор, позволяющий хакерам контролировать сеть. Кроме того, для поддержания доступа использовался драйвер, связанный со сканером вредоносных программ HitmanPro Alert.
В рамках атаки Careto использовала ранее неизвестную уязвимость в одном из продуктов безопасности, чтобы распространить четыре многомодульных имплантата по сетям каждой жертвы. Имплантаты, получившие названия “FakeHMP”, “Careto2”, “Goreto” и “MDaemon implant”, позволяли выполнять различные злонамеренные действия, включая перехват звука с микрофона, кейлоггинг, кражу конфиденциальных документов и данных для входа.
Эти сложные многомодальные инструменты, как отмечает Кучерин, свидетельствуют о высоком уровне операций, проводимых группировкой.
В своём отчёте за первый квартал 2024 года “Лаборатория Касперского” также упоминает другие APT-группы, включая “Gelsemium”, которая ранее использовала серверные эксплойты для установки веб-оболочек и множества пользовательских инструментов в организациях Палестины, а с недавних пор – Таджикистана и Кыргызстана.