沉寂十年後重出江湖的駭客組織The Mask 發動新一波網路攻擊

卡巴斯基資安研究員發現多起與駭客組織 The Mask 相關的針對性攻擊。這個進階持續性威脅（APT）組織在2019年至2022年期間，鎖定一個拉丁美洲組織為攻擊目標。攻擊者成功入侵了一台 MDaemon 電子郵件伺服器，並透過其 WorldClient 網頁郵件元件在受害組織內部維持持續性存取。

根據卡巴斯基發布的分析報告，攻擊者利用 WorldClient 的擴充功能載入特性來維持持續性。這些擴充功能可處理從用戶端到電子郵件伺服器的自訂 HTTP 請求，並能透過 C:\MDaemon\WorldClient\WorldClient.ini 檔案進行設定。

The Mask（又稱「Careto」，西班牙語意為「醜陋的臉」或「面具」）是一個高度活躍的國家級駭客組織，專門針對政府機構、外交辦事處、大使館和能源公司發動網路攻擊。

卡巴斯基於 2014 年首次發現該 APT 組織，但專家研判這個網路間諜行動在發現前已活躍超過五年。當時卡巴斯基將其評估為他們所遇過最複雜的 APT 行動。The Mask APT 組織自2007年起就開始活動，展現出運用複雜惡意程式的能力，這些惡意程式多透過零時差漏洞進行部署。

雖然資安專家尚未確定該 APT 組織的確切來源，但研究顯示這些威脅行為者使用西班牙語，並已在全球超過30個國家進行攻擊活動。

在最新一波攻擊中，The Mask 運用惡意擴充功能執行偵察、檔案系統操作和惡意程式部署。

2024年初，該組織透過 hmpalert.sys 驅動程式和 Google 更新程式部署了新型惡意程式 FakeHMP。這個惡意程式具備檔案擷取、鍵盤側錄和螢幕截圖等功能，並可執行其他惡意載荷。攻擊者同時也部署了麥克風錄音和檔案竊取工具。

在調查 2022 年的攻擊事件時，研究人員發現該受害組織早在 2019 年就遭受過「Careto2」和「Goreto」框架的攻擊。攻擊者先是透過載入器、安裝程式和輔助登錄檔來部署 Careto2，接著利用 COM 劫持來維持持續性。該框架會從虛擬檔案系統載入外掛程式，這些外掛程式的名稱都經過 DJB2 值的雜湊處理。

時隔十年再度現身的 Careto 網路攻擊，再次展現這個駭客組織的強大實力。其技術實力令人驚嘆，特別是在開發精密的入侵技術上，包括透過 MDaemon 電子郵件伺服器建立持續性存取、利用 HitmanPro Alert 驅動程式部署惡意程式，以及開發複雜的多組件惡意程式。雖然無法預測其下一波攻擊會在何時出現，但可以確信，這個組織必將延續其一貫的精密作風。

本文轉載自 ​securityaffairs。