Un actor de ciberespionaje poco conocido conocido como La máscara se ha relacionado con un nuevo conjunto de ataques dirigidos a una organización anónima en América Latina dos veces en 2019 y 2022.
“La Mask APT es un actor de amenazas legendario que ha estado realizando ataques altamente sofisticados desde al menos 2007”, dijeron los investigadores de Kaspersky Georgy Kucherin y Marc Rivero en un análisis publicado la semana pasada. “Sus objetivos suelen ser organizaciones de alto perfil, como gobiernos, entidades diplomáticas e instituciones de investigación”.
También conocido como Careto, el actor de amenazas fue documentado previamente por la compañía rusa de ciberseguridad hace más de una década, en febrero de 2014, por haber atacado a más de 380 víctimas únicas desde 2007. Actualmente se desconocen los orígenes del grupo de piratas informáticos.
El acceso inicial a las redes de destino se facilita mediante correos electrónicos de phishing que incorporan enlaces a un sitio web malicioso que están diseñados para activar exploits de día cero basados en el navegador para infectar al visitante (por ejemplo, CVE-2012-0773), después de lo cual son redirigido a sitios benignos como YouTube o un portal de noticias.
También hay evidencia que sugiere que los actores de amenazas han desarrollado un completo arsenal de malware capaz de apuntar a Windows, macOS, Android e iOS.
Kaspersky dijo que identificó a The Mask apuntando a una organización latinoamericana en 2022, utilizando un método aún indeterminado para afianzarse y mantener la persistencia mediante el uso de un componente de correo web de MDaemon llamado WorldClient.
“El método de persistencia utilizado por el actor de amenazas se basó en WorldClient, que permite cargar extensiones que manejan solicitudes HTTP personalizadas de los clientes al servidor de correo electrónico”, dijeron los investigadores.
Se dice que el actor de amenazas compiló su propia extensión y la configuró agregando entradas maliciosas en el archivo WorldClient.ini especificando la ruta a la extensión DLL.
La extensión maliciosa está diseñada para ejecutar comandos que permiten el reconocimiento, las interacciones del sistema de archivos y la ejecución de cargas útiles adicionales. En el ataque de 2022, el adversario utilizó este método para propagarse a otras computadoras dentro de la red de la organización y lanzar un implante denominado FakeHMP (“hmpalert.dll”).
Esto se logra mediante un controlador legítimo del software HitmanPro Alert (“hmpalert.sys”) aprovechando el hecho de que no puede verificar la legitimidad de las DLL que carga, lo que permite inyectar el malware en sitios privilegiados. procesos durante el inicio del sistema.
La puerta trasera admite una amplia gama de funciones para acceder a archivos, registrar pulsaciones de teclas e implementar más malware en el host comprometido. Algunas de las otras herramientas entregadas a los sistemas comprometidos incluían una grabadora de micrófono y un ladrón de archivos.
La investigación de la empresa de ciberseguridad encontró además que la misma organización fue sometida a un ataque anterior en 2019 que implicó el uso de dos marcos de malware con nombres en código Careto2 y Goreto.
Careto2 es una versión actualizada del marco modular observado entre 2007 y 2013 que aprovecha varios complementos para tomar capturas de pantalla, monitorear modificaciones de archivos en carpetas específicas y filtrar datos a un almacenamiento Microsoft OneDrive controlado por un atacante.
Goreto, por otro lado, es un conjunto de herramientas basado en Golang que se conecta periódicamente a un almacenamiento de Google Drive para recuperar comandos y ejecutarlos en la máquina. Esto incluye cargar y descargar archivos, buscar y ejecutar cargas útiles desde Google Drive y ejecutar un comando de shell específico. Además, Goreto incorpora funciones para capturar pulsaciones de teclas y capturas de pantalla.
Eso no es todo. También se ha detectado que los actores de amenazas utilizan el controlador “hmpalert.sys” para infectar la máquina de un individuo u organización no identificada a principios de 2024.
“Careto es capaz de inventar técnicas de infección extraordinarias, como la persistencia a través del servidor de correo electrónico MDaemon o la carga de implantes a través del controlador HitmanPro Alert, así como desarrollar malware complejo de múltiples componentes”, dijo Kaspersky.
