“Maske” olarak da bilinen efsanevi Careto tehdit aktörü, on yıl süren bir ortadan kaybolmanın ardından, grubun devam eden gelişimini ve teknik becerisini gösteren gelişmiş yeni saldırı yöntemlerini kullanarak yeniden ortaya çıktı.
Kaspersky araştırmacıları bu bulguları Ekim ayında düzenlenen 34. Virus Bulletin Uluslararası Konferansı’nda açıkladı ve bu, 2014’ün başlarından bu yana Careto etkinliğine ilişkin ilk önemli keşif oldu.
Mask APT, en az 2007’den bu yana, öncelikle hükümetler, diplomatik kuruluşlar ve araştırma kurumları dahil olmak üzere yüksek profilli kuruluşları hedef alan son derece karmaşık siber saldırılar gerçekleştiriyor.
İmza niteliğindeki yaklaşımları, genellikle sıfır gün açıklarından yararlanılarak sağlanan karmaşık implantların konuşlandırılmasını içeriyor ve bu da onları siber güvenlik ortamındaki en zorlu tehdit aktörleri arasına sokuyor.
Kaspersky’nin son araştırması, 2022’de bir Latin Amerika kuruluşunun ele geçirilmesi de dahil olmak üzere iki önemli hedefli saldırı kümesini ortaya çıkardı.
Bu saldırıda, tehdit aktörleri bir MDaemon e-posta sunucusuna erişim elde etti ve WorldClient web posta bileşenini içeren benzeri görülmemiş bir kalıcılık yönteminden yararlandı.
Saldırganlar, WorldClient.ini yapılandırma dosyası aracılığıyla özel HTTP isteklerinin işlenmesine olanak tanıyan WorldClient’in uzantı yükleme yeteneğinden yararlandı.
Kötü amaçlı bir uzantı derleyerek ve CgiBase6 ile CgiFile6 parametreleri için girişler ekleyerek, saldırganlar web posta sunucusu etki alanına HTTP istekleri aracılığıyla kalıcı erişim sağladı. Bu uzantı keşif, dosya sistemi etkileşimleri ve yük yürütme için komutlar uyguladı.
FakeHMP İmplantı ve Yan Hareket
Tehdit aktörü, meşru bir HitmanPro Alert sürücüsünden (hmpalert.sys) yararlanarak gelişmiş yanal hareket yetenekleri sergiledi.
Saldırganlar, ele geçirilen sistemlere dört dosya yükledi: yasal sürücü, kötü amaçlı bir DLL yükü, bir .bat dosyası ve zamanlanmış görev açıklamalarını içeren bir XML dosyası.
Bu teknik, sürücünün DLL meşruiyetini doğrulamadaki başarısızlığından yararlanarak saldırganların “FakeHMP” olarak adlandırılan yüklerini sistem başlatılırken winlogon.exe ve dwm.exe gibi ayrıcalıklı işlemlere enjekte etmelerine olanak sağladı.
FakeHMP implantı, dosya alma, tuş vuruşlarını kaydetme, ekran görüntüsü yakalama ve yük dağıtımı gibi kapsamlı yeteneklere sahipti.
Careto2, kalıcılık sağlamak için COM ele geçirmeyi kullandı ve yapılandırma yönetimi, dosya izleme, ekran görüntüsü yakalama ve OneDrive depolama alanına veri sızdırma gibi yeteneklere sahip eklentileri depolamak için sanal bir dosya sistemi kullandı.
2024’ün başlarında araştırmacılar, grubun Google Güncelleyici’yi de içeren farklı bir dağıtım tekniği kullandığını gözlemledi ve bu da taktiksel evrimin devam ettiğini gösterdi.
Soruşturma, aynı Latin Amerika kuruluşunun 2019 yılında iki kötü amaçlı çerçeve kullanılarak ele geçirildiğini ortaya çıkardı: “Careto2” ve “Goreto.”
Golang dilinde kodlanan Goreto, dosya indirme/yükleme, kabuk komut yürütme, tuş günlüğü tutma ve grubun komuta ve kontrol operasyonları için bulut altyapısını benimsediğini gösteren ekran görüntüsü yakalamayı destekleyen komutları almak için düzenli olarak Google Drive’a bağlanıyor.
Nitelik ve Teknik Göstergeler
Kaspersky, bu saldırıları birden fazla göstergeye dayalı olarak orta ila yüksek düzeyde güvenle ilişkilendirdi.
Dosya adlandırma kuralları, “~df01ac74d8be15ee01.tmp” ve “c_27803.nls” gibi kalıplar da dahil olmak üzere The Mask tarafından 2007-2013 yılları arasında kullanılanlara oldukça benziyordu. “FileFilter”, “Storage” ve “ConfigMgr” gibi eklenti adları, geçmiş adlandırma şemalarıyla eşleşiyordu.
Ek olarak, eklenti depolaması için sanal dosya sistemleri, COM ele geçirme kalıcılığı ve bulut depolama sızıntısı dahil olmak üzere paylaşılan TTP’ler güçlü ilişkilendirme kanıtı sağladı.
Maskenin geri dönüşü, gelişmiş tehdit aktörlerinin teknik yeteneklerini korurken uzun süre hareketsiz kalabileceğini gösteriyor.
Olağanüstü enfeksiyon teknikleri ve karmaşık çok bileşenli kötü amaçlı yazılımlar geliştirme yetenekleri, dünya çapında yüksek değerli hedeflere karşı önemli bir tehdit olmaya devam etmelerini sağlıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.