您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[卡巴斯基]:Careto 又回来了 : 沉默 10 年后有什么新发现 ? - 发现报告
当前位置:首页/行业研究/报告详情/

Careto 又回来了 : 沉默 10 年后有什么新发现 ?

信息技术2024-12-12卡巴斯基洪***
AI智能总结
查看更多
Careto 又回来了 : 沉默 10 年后有什么新发现 ?

2024年10月2日至4日/爱尔兰都柏林 面具再次被解雇 GeorgyKucherin&MarcRiveroLópez 卡巴斯基,俄罗斯和西班牙 george.kucherin@gmail .commriverolopez@gmail.com www.virusbulletin.com 面具已被取消 摘要 TheMask(也被称为Careto)是一名自2007年以来一直在活动的高级威胁行为者。过去观察到,该行为者主要针对高profile组织开展网络间谍活动。从技术角度来看,该行为者的攻击一直非常引人注目,通常涉及使用零日漏洞、引导kit以及适用于不同操作系统的模块化后门程序。 在过去的十年中,《面具》一直尽力避免被研究人员捕捉:自2014年以来,关于该组织的信息一直为空白。尽管如此,在我们最近的研究中,我们成功揭露了这一威胁行为者的一系列新的恶意活动——最新活动可追溯到2024年初。在我们的论文中,我们将详细描述这些活动,并重点介绍《面具》如何实现初始访问、横向移动、恶意软件执行以及数据泄露。 具体而言,我们首先描述了《TheMask》如何利用目标组织之一的MDaemon邮件服务器获得初始立足点。然后详细说明了该威胁行为体利用安全解决方案中的未知漏洞,以隐蔽方式在多台机器上传播恶意植入物。最后 ,我们讨论了所提供植入物的功能以及其中实施的隐蔽措施。 《面具》威胁组一直以极高的谨慎态度进行网络攻击。尽管如此,在最近的行动中,该威胁组的成员还是犯了一些虽小但却致命的错误。在本文中,我们将描述这些错误,并说明它们如何帮助我们不仅检测到所讨论的恶意活动,还对发现的campaign进行了归属分析。 在论文结尾,我们呈现了《面具》组织的历史攻击与近期攻击的对比,以展示该组织的运营活动如何随着时间演变。 INTRODUCTION TheMask是一个被观察到执行高度复杂攻击的APT团体,其主要目标包括政府组织、外交实体、能源公司和研究机构。该团体曾使用零日漏洞利用,并且known还开发了独特且专业编写的植入程序。Windows,macOSandLinux. 这一APT威胁行为者自2007年起就被观察到,并持续至2013年[1]。值得注意的是,自那以后一直没有关于该威胁组织的新闻报道。然而,我们最近发现了两个感染集群,我们有中等到较高的置信度将其归因于“TheMask”: •拉丁美洲一家组织的感染,于2019年进行。 •2022年在同一拉丁美洲组织成功实施的一次攻击。值得注意的是,我们在这些攻击中使用的恶意软件(我们称之为FakeHMP)在2024年1月还被观察到部署在某个未知个人或组织的机器上。 在本论文的后续部分,我们将提供关于这些感染的信息,首先讨论2022年和2024年发生的近期感染事件,然后介绍2019年的历史感染事件。 MDAEMON服务器感染 尽管没有关于2024年受感染机器的具体数据来源,我们还是查明了位于拉丁美洲的组织在2022年是如何被攻击者渗透的。具体来说,我们发现攻击者成功渗透了该组织的邮件服务器,该服务器运行的是MDaemon邮件软件 。虽然我们尚未确定黑客入侵的具体方法,但已确认被渗透的服务器被用于在组织网络内保持持久性访问。至于所使用的持久化方法,相当独特,涉及使用MDaemon的Web邮件组件WorldClient: 图1:WorldClientwebmail身份验证面板。 2024年10月2日病毒通报会议 面具已被取消 WorldClient允许加载扩展(类似于IIS扩展),这些扩展可以处理来自客户端✁HTTP请求。这些扩展在文件中注册。 。为了注册一个 C:\MDaemon\WorldClient\WorldClient.ini ),以及路径 为扩了展建名立,持则久必性须,指A定PT由小该组扩构展建名了控自制己✁✁相恶对意UWRoLrld(在Cl参ien数t扩展,并通过添加相应✁条目进行了配置。 (Cgi包Ba含se相对URL)and(包含 C扩g展iBaDseL6L/(在Wo参rld数C中lient/邮箱CgiFile6 扩)展。D扩L展L✁DL路L径由,WorldClient.exe进程加载。 )Cgi。Fil通e过这样做,对手成为 C:\MDaemon\WorldClient\HTML\MDMBoxSrch.dll 能够通过向URL发出HTTP请求来与恶意扩展进行交互 https://<webmail服务器域 。值得一提✁是,由于电子邮件服务器具有外部IP地址,因此任何 name>/WorldClient/mailbox 连接到Internet✁计算机可用于与恶意扩展进行交互。 图2:WorldClient网络邮件身份验证面板(对应于恶意扩展✁条目带有下划线)。 应注意,描述✁持久性方法无法被常见✁自动启动应用程序检测工具(如Autoruns)检测到。 已安装恶性延长 在组织✁电子邮件服务器上发现✁恶意WorldClient扩展显示三个导出 导出名称 导出函数活动 GetExtensionVersion 放置字符串MDaemon邮件✁邮箱搜索模块服务器,版本21.0.0里面✁HSE_VERSION_IN结FO构在一个参数中传递。 TerminateExtension 辅助功能,执行内存清理。 HttpExtensionProc 处理由扩展处理✁HTTP请求。 处理发送到URL✁POST请求✁扩展 https://<webmail服务器域名>/ 可•以执提行供攻两击个者功提能供:✁命令。命令✁ID在 WoUrRldLCl参ien数t/邮,箱而 QueryID 命令参数在POST请求体中指定。为了执行命令,扩展加载位于并调用其导出,将URL传递给它 C:\MDaemon\App\MDUserQuery.dllrunMBoxSrch 参数和请求正文。•更新 用于处理命令✁库(如下所述)。DLL主体是此外MD,Us请er求Qu✁er重y.新dll加载URL参数设置为“是”。 在POST请求正文中提供,而DLL正文大小在URL参数。 CalStart 命令处理库 如上所述,MDUserQuery.dll库有一个导出名为,它处理命令 runMBoxSrch 由攻击者提供。它支持以下命令: 2024年10月3日病毒通报会议 命令ID 命令说明 01 列出加载到WorldClient.exe进程、运行进程和安装✁DLL模块服务。 02 ✁动命令参数中指定✁进程,将其输出重定向到管道,等待进程完成并将其输出发送给攻击者。 10 在磁盘上写入文件并计时。 11 将命令正文中指定✁可执行文件放到路径C:\MDaemon\WorldClient\临时\C3OB7RCITKJBI\MDSync.exe然后✁动它,将其输出重定向到管道。 进程完成后,该命令将其输出发送给攻击者,并删除可执行文件。 12 发送指定文件✁内容。 13 删除指定✁文件。 14 对指定文件执行时间统计。 15 列出指定目录✁内容。 16 在不更改文件时间戳✁情况下覆盖文件内容。 在安装了MDaemon后门之后,攻击者利用该后门进行感染组织网络✁侦察,并传播至网络中感兴趣✁目标机器 。 通过计划任务扩展 在2022年✁感染案例中,观察到攻击者通过使用计划任务来进行横向传播至其他机器。在这一过程中,攻击者将以下文件复制到了远程机器上: 文件名 远程计算机上✁路径 Description hmpalert.sys C:\Windows\System32\drivers\hmpalert.sys 合法✁司机HitmanPro警报软件。 hmpalert.dll C:\Windows\System32\hmpalert。dll 完全以一个名称命名✁恶意DLL合法✁组成部分HitmanPro警报软件,包含我们称之为✁植入物假HMP。 ~DFAE01202C5F0DBA42.cmd C:\Windows\ 温度\~DFAE01202C5F0DBA42.cmd 恶意.bat文件。 Tpm-HASCertRetr.xml c:\Windows\Temp\TpmHASCertRetr.xml 恶意✁.xml文件,包含配置为✁动文件✁计划任务~DFAE01202C5F0DBA42.cm.d 之后,攻击者执行以下命令序列: Tpsmch-taHsAkSsC/cerretRaetetr/.Sxm\\l<远程受害者机器IP地址>/U<远程机器用户名> /P<远程机器用户密码>/tn"Microsoft\Windows\WindowsColorSystem\pm-HASCertRetr"/XML"C:Windows\Temp\Tpm-HASCertRetr.xml"); •使用中指定✁描述创建计划任务file: •✁脚动本创上建✁✁计划任务以执行 C:\Windows\Temp\~DFAE01202C5F0DBA42.cmd `schtasks/run/S\\\<远程受害机器IP地址>/U\<远程机器用户名>/P\<远程机器用户密码>/tn"Microsoft\Windows\WindowsColorSystem\pm-HASCertRetr"` 远程计算机: •在.bat文件✁执行完成后,删除创建✁计划任务: schtasks/delete/S\\<远程受害者机器IP地址>/U<remote计算机用户名>/P<远程计算机用户密码>/tn"Microsoft\ Windows\WindowsColorSystem\pm-HASCertRetr"/F); 反过来,由计划任务✁动✁.bat文件包含以下行: ```batch regaddHKLM\SYSTEM\CurrentControlSet\Services\hmpalert regaddHKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances regaddHKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances/vDefaultInstance/tREG_SZ/dCryptoGuardregaddHKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances\CryptoGuard regaddHKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances\CryptoGuard/vAltitude/tREG_SZ/d345800 regaddHKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances\CryptoGuard/vFlags/tREG_DWORD/d00000000sccreatehmpalertbinPath=c:\windows\system32\drivers\hmpalert.systype=kernelstart=system ``` 请注意,这里✁翻译主要是保留了原始✁批处理命令格式,因为这些命令本身是技术性✁,不需要额外✁解释或翻译。 这些命令将几个条目添加到注册表项, HKLM\SYSTEM\CurrentControlSet\Services\hmpalert 安装hmpalert.sys驱动程序,并配置使其在开机时加载。如下方所述,该驱动程序被滥用以加载FakeHMP植入物。 通过GoogleUPDATER扩展 在2024感染案例中,我们观察到攻击者以替代方式配置FakeHMP植入物。为了 实现这一目标,他们将名为goopdate.dll✁恶意DLL放入文件夹 C:\ProgramFiles(x86)\Google\ .此文件夹包含合法✁Google更新程序可执行文件配置为定期在计算机上运行