The Mask APT duikt weer op met een geavanceerd multi-platform malware-arsenaal

Een weinig bekende cyberspionageacteur, bekend als Het masker is in verband gebracht met een nieuwe reeks aanvallen gericht op een naamloze organisatie in Latijns-Amerika, tweemaal in 2019 en 2022.

“The Mask APT is een legendarische bedreigingsacteur die zeer geavanceerde aanvallen uitvoert sinds minstens 2007”, zeiden Kaspersky-onderzoekers Georgy Kucherin en Marc Rivero in een analyse die vorige week werd gepubliceerd. “Hun doelwitten zijn meestal spraakmakende organisaties, zoals overheden, diplomatieke entiteiten en onderzoeksinstellingen.”

De dreigingsactor, ook bekend als Careto, werd al meer dan tien jaar geleden, in februari 2014, gedocumenteerd door het Russische cyberbeveiligingsbedrijf en had zich sinds 2007 op meer dan 380 unieke slachtoffers gericht. De oorsprong van de hackgroep is momenteel onbekend.

De initiële toegang tot doelnetwerken wordt vergemakkelijkt door middel van spearphishing-e-mails waarin links naar een kwaadaardige website zijn opgenomen die zijn ontworpen om browsergebaseerde zero-day-exploits te activeren om de bezoeker te infecteren (bijv. CVE-2012-0773), waarna deze worden doorgestuurd naar goedaardige sites zoals YouTube of een nieuwsportaal.

Er zijn ook aanwijzingen dat de bedreigingsactoren een uitgebreid malwarearsenaal hebben ontwikkeld dat zich kan richten op Windows, macOS, Android en iOS.

Kaspersky zei dat het in 2022 The Mask had geïdentificeerd die zich richtte op een Latijns-Amerikaanse organisatie, met behulp van een nog onbepaalde methode om voet aan de grond te krijgen en doorzettingsvermogen te behouden door gebruik te maken van een MDaemon-webmailcomponent genaamd WorldClient.

“De persistentiemethode die door de bedreigingsacteur werd gebruikt, was gebaseerd op WorldClient, waardoor extensies konden worden geladen die aangepaste HTTP-verzoeken van clients naar de e-mailserver afhandelden”, aldus de onderzoekers.

De bedreigingsactor zou zijn eigen extensie hebben gecompileerd en geconfigureerd door kwaadaardige vermeldingen toe te voegen aan het bestand WorldClient.ini door het pad naar de extensie-DLL op te geven.

De frauduleuze extensie is ontworpen om opdrachten uit te voeren die verkenning, bestandssysteeminteracties en de uitvoering van extra payloads mogelijk maken. Bij de aanval van 2022 gebruikte de tegenstander deze methode om zich naar andere computers binnen het netwerk van de organisatie te verspreiden en een implantaat te lanceren genaamd FakeHMP (“hmpalert.dll”).

Dit wordt bereikt door middel van een legitiem stuurprogramma van de HitmanPro Alert-software (“hmpalert.sys”) door gebruik te maken van het feit dat het er niet in slaagt de legitimiteit van de DLL’s die het laadt te verifiëren, waardoor het mogelijk wordt gemaakt om de malware in bevoorrechte computers te injecteren. processen tijdens het opstarten van het systeem.

De achterdeur ondersteunt een breed scala aan functies om toegang te krijgen tot bestanden, toetsaanslagen te registreren en verdere malware op de getroffen host te implementeren. Enkele van de andere tools die aan de gecompromitteerde systemen werden geleverd, waren onder meer een microfoonrecorder en een bestandsdief.

Uit het onderzoek van het cyberbeveiligingsbedrijf bleek verder dat dezelfde organisatie in 2019 het slachtoffer was van een eerdere aanval waarbij gebruik werd gemaakt van twee malwareframeworks met de codenaam Careto2 en Goreto.

Careto2 is een bijgewerkte versie van het modulaire raamwerk dat tussen 2007 en 2013 werd waargenomen en dat verschillende plug-ins gebruikt om schermafbeeldingen te maken, bestandswijzigingen in specifieke mappen te controleren en gegevens te exfiltreren naar een door de aanvaller bestuurde Microsoft OneDrive-opslag.

Goreto daarentegen is een op Golang gebaseerde toolset die periodiek verbinding maakt met een Google Drive-opslag om opdrachten op te halen en deze op de machine uit te voeren. Dit omvat het uploaden en downloaden van bestanden, het ophalen en uitvoeren van payloads van Google Drive en het uitvoeren van een gespecificeerde shell-opdracht. Bovendien bevat Goreto functies om toetsaanslagen en schermafbeeldingen vast te leggen.

Dat is niet alles. De bedreigingsactoren zijn begin 2024 ook gedetecteerd met behulp van het stuurprogramma ‘hmpalert.sys’ om de machine van een niet-geïdentificeerd individu of organisatie te infecteren.

“Careto is in staat om buitengewone infectietechnieken uit te vinden, zoals persistentie via de MDaemon-e-mailserver of het laden van implantaten via de HitmanPro Alert-driver, en om complexe, uit meerdere componenten bestaande malware te ontwikkelen”, aldus Kaspersky.

Thijs Van der Does