Aktor spionase dunia maya yang kurang dikenal dikenal sebagai Topeng telah dikaitkan dengan serangkaian serangan baru yang menargetkan organisasi yang tidak disebutkan namanya di Amerika Latin sebanyak dua kali pada tahun 2019 dan 2022.
“The Mask APT adalah aktor ancaman legendaris yang telah melakukan serangan sangat canggih setidaknya sejak tahun 2007,” kata peneliti Kaspersky Georgy Kucherin dan Marc Rivero dalam analisis yang diterbitkan minggu lalu. Sasaran mereka biasanya adalah organisasi-organisasi terkemuka, seperti pemerintah, lembaga diplomatik, dan lembaga penelitian.
Juga dikenal sebagai Careto, pelaku ancaman ini sebelumnya didokumentasikan oleh perusahaan keamanan siber Rusia lebih dari satu dekade yang lalu pada bulan Februari 2014 telah menargetkan lebih dari 380 korban unik sejak tahun 2007. Asal usul kelompok peretas tersebut saat ini tidak diketahui.
Akses awal ke jaringan target difasilitasi melalui email spear-phishing yang menyematkan tautan ke situs web jahat yang dirancang untuk memicu eksploitasi zero-day berbasis browser untuk menginfeksi pengunjung (misalnya, CVE-2012-0773), yang kemudian diikuti oleh mereka. dialihkan ke situs tidak berbahaya seperti YouTube atau portal berita.
Ada juga beberapa bukti yang menunjukkan bahwa pelaku ancaman telah mengembangkan gudang malware komprehensif yang mampu menargetkan Windows, macOS, Android, dan iOS.
Kaspersky mengatakan pihaknya mengidentifikasi The Mask yang menargetkan organisasi Amerika Latin pada tahun 2022, menggunakan metode yang belum ditentukan untuk mendapatkan pijakan dan mempertahankan persistensi dengan memanfaatkan komponen webmail MDaemon yang disebut WorldClient.
“Metode persistensi yang digunakan oleh pelaku ancaman didasarkan pada WorldClient yang memungkinkan pemuatan ekstensi yang menangani permintaan HTTP khusus dari klien ke server email,” kata para peneliti.
Pelaku ancaman dikatakan telah mengkompilasi ekstensi mereka sendiri dan mengonfigurasinya dengan menambahkan entri berbahaya di file WorldClient.ini dengan menentukan jalur ke ekstensi DLL.
Ekstensi jahat ini dirancang untuk menjalankan perintah yang memungkinkan pengintaian, interaksi sistem file, dan eksekusi muatan tambahan. Dalam serangan tahun 2022, musuh menggunakan metode ini untuk menyebar ke komputer lain di dalam jaringan organisasi dan meluncurkan implan yang dijuluki FakeHMP (“hmpalert.dll”).
Hal ini dicapai melalui driver yang sah dari perangkat lunak HitmanPro Alert (“hmpalert.sys”) dengan memanfaatkan fakta bahwa driver tersebut gagal memverifikasi keabsahan DLL yang dimuatnya, sehingga memungkinkan untuk menyuntikkan malware ke dalam hak istimewa. proses selama startup sistem.
Pintu belakang mendukung berbagai fitur untuk mengakses file, mencatat penekanan tombol, dan menyebarkan malware lebih lanjut ke host yang disusupi. Beberapa alat lain yang dikirimkan ke sistem yang disusupi termasuk perekam mikrofon dan pencuri file.
Investigasi perusahaan keamanan siber lebih lanjut menemukan bahwa organisasi yang sama pernah menjadi sasaran serangan sebelumnya pada tahun 2019 yang melibatkan penggunaan dua kerangka malware dengan nama kode Careto2 dan Goreto.
Careto2 adalah versi terbaru dari kerangka kerja modular yang diamati antara tahun 2007 dan 2013 yang memanfaatkan beberapa plugin untuk mengambil tangkapan layar, memantau modifikasi file di folder tertentu, dan mengekstrak data ke penyimpanan Microsoft OneDrive yang dikendalikan penyerang.
Goreto, di sisi lain, adalah seperangkat alat berbasis Golang yang secara berkala terhubung ke penyimpanan Google Drive untuk mengambil perintah dan menjalankannya di mesin. Ini termasuk mengunggah dan mengunduh file, mengambil dan menjalankan payload dari Google Drive, dan menjalankan perintah shell tertentu. Selain itu, Goreto menggabungkan fitur untuk menangkap penekanan tombol dan tangkapan layar.
Bukan itu saja. Pelaku ancaman juga telah terdeteksi menggunakan driver “hmpalert.sys” untuk menginfeksi mesin individu atau organisasi yang tidak dikenal pada awal tahun 2024.
“Careto mampu menciptakan teknik infeksi yang luar biasa, seperti persistensi melalui server email MDaemon atau pemuatan implan melalui driver HitmanPro Alert, serta mengembangkan malware multi-komponen yang kompleks,” kata Kaspersky.
