روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  هفته اول اکتبر، کسپرسکی در سی و چهارمین کنفرانس بین‌المللی Virus Bulletin که یکی از رویدادهای امنیت سایبری با بیشترین قدمت است شرکت کرد. آنجا، محققین ما چندین ارائه دادند و یکی از سخنرانی‌ها بر فعالیت‌های عامل تهدید مشاهده‌شده به نام Careto تمرکز داشت؛ عاملی که همچنین آن را با نام The Mask نیز می‌شناسند. Mask APT یک عامل تهدید افسانه‌ای است که دست کم از 2007 دارد حملات به شدت پیچیده‌ای را اجرا می‌کند. تارگت‌های آن‌ها معمولاً سازمان‌های رده بالا مانند نهادهای سیاسی دولتی و مؤسسات تحقیقاتی است. Mask برای آلوده کردن آن‌ها از ایمپلنت‌های پیچیده -اغلب ارسال‌شده از طریق اکسپلویت‌های روز صفر- استفاده می‌کند. آخرین بار که یافته‌های خود را در مورد The Mask منتشر کردیم برای اوایل سال 2014 است و از آن زمان نتوانسته‌ بودیم آثار بیشتری را از این عامل کشف کنیم.

حملات غیرمعمول و جدید The Mask

با این حال، جدیدترین تحقیق ما روی دو شاخه حمله هدف‌دار، شناسایی چندین حمله سایبری اخیر را که با اعتماد به نفس بین متوسط تا بالا می‌گوییم کار The Mask است را ممکن کرده است. مشخصاً یکی از این حملات را که سازمانی در آمریکای لاتین را در سال 2022 هدف قرار داده بود مشاهده کردیم. آن‌ها بعداً برای حفظ ماندگاری داخل سازمان دستکاری‌شده با کمک متود منحصر به فرد شامل اجرای وب‌میل MDaemon به نام WorldClient به این سرور نفوذ کردند.

ایمپلنت سرور MDaemon

روش تداوم مورد استفاده توسط عامل تهدید مبتنی بر WorldClient بود که اجازه لود افزونه‌ها را می‌داد که درخواست‌های HTTP سفارشی مشتریان را به سرور ایمیل رسیدگی می‌کردند. این پسوندها را می‌توان از طریق فایل C:\MDaemon\WorldClient\WorldClient.ini پیکربندی کرد. طلاعات مربوط به هر افزونه شامل یک URL نسبی است که توسط افزونه کنترل می‌شود (مشخص شده در پارامتر CgiBase)، و همچنین مسیر به DLL (پسوند در پارامتر CgiFile). 

پخش ایمپلنت FakeHMP داخل شبکه

پسوند مخرب نصب‌شده توسط مهاجمین مجموعه‌ای از دستورات مرتبط با شناسایی، انجام تعاملات سیستم فایل و اجرای بارهای اضافی را اجرا می‌کند. ما مهاجمین را مشاهده کردیم که از این دستورات برای جمع‌آوری اطلاعات درباره سازمان آلوده استفاده و سپس به رایانه‌های دیگر داخل شبکه آن سرایت می‌کردند. در حین بررسی عفونتی که در آمریکای لاتین در سال 2022 رخ داد، متوجه شدیم که مهاجمین از فایل‌های زیر برای انجام حرکت جانبی استفاده کرده‌اند:

•         sys، یک درایور قانونی نرم افزار HitmanPro Alert است
•         dll، یک DLL مخرب با باری که باید تحویل داده شود
•         ~dfae01202c5f0dba42.cmd، یک فایل bat مخرب
•         Tpm-HASCertRetr.xml، یک فایل XML مخرب حاوی شرح وظایف برنامه‌ریزی شده است

برای توزیع آن به سایر ماشین‌ها، مهاجمین این چهار فایل را آپلود کرده و تسک‌های برنامه‌ریزی‌شده‌ای را با کمک فایل دیسکریپشن Tpm-HASCertRetr.xml درست کردند. این تسک‌های برنامه‌ریزی‌شده موقع شروع، فرمان‌های مشخص‌شده در فایل ~dfae01202c5f0dba42.cmd را اجرا کردند که در عوض درایور hmpalert.sys را نصب و آن را برای لود روی استارت آپ پیکربندی کردند. یکی از کارایی‌های درایور  hmpalert.sys لود DLLHitmanPro است که در C:\Windows\System32\hmpalert.dll قرار دارد. با این حال، از آنجایی که این درایور مشروعیت DLL‌هایی را که لودینگ می‌کند تأیید نمی‌کند، مهاجمین می‌توانستند DLL‌های payload خود را در این مسیر قرار دهند و بنابراین آن‌ها را در هنگام راه‌اندازی سیستم به فرآیندهای مختلف مانند winlogon.exe و dwm.exe تزریق کنند. نکته قابل توجه این است که ما مهاجمینی را مشاهده کردیم که از درایور hmpalert.sys برای آلوده کردن ماشین یک فرد یا سازمان ناشناس در اوایل سال 2024 استفاده می‌کردند. با این حال، برخلاف سال 2022، دشمن از وظایف برنامه‌ریزی‌شده برای انجام این کار استفاده نکرد. در عوض، آنها از تکنیکی استفاده کردند که شامل Google Updater می‌شد. 

محتویات موجود در آرشیو مخرب hmpalert.dll یک ایمپلنت قبلا ناشناخته بود که ما آن را FakeHMP نامیدیم. قابلیت‌های آن شامل بازیابی فایل‌ها از سیستم فایل، ثبت ضربه‌های کلید، گرفتن اسکرین شات و استقرار بارهای بیشتر به ماشین‌های آلوده بود. به غیر از این ایمپلنت، ما همچنین مهاجمانی را مشاهده کردیم که یک ضبطکننده میکروفون و یک سارق فایل را روی رایانه‌های در معرض خطر مستقر می‌کردند.

همان سازمان در سال 2019 توسط  Mask هک شد

پس از بررسی اطلاعات موجود درباره سازمانی که در سال 2022 به خطر افتاده بود، متوجه شدیم که در سال 2019 با یک حمله پیشرفته نیز در معرض خطر قرار گرفته است. آن حمله قبلی شامل استفاده از دو چارچوب مخرب می‌شد که  Careto2 و  Goreto  نام‌گذاری کردیم. در مورد Careto2، ما مشاهده کردیم که عامل تهدید سه فایل زیر را برای نصب آن به کار گرفته است:

فریمورک لودر قرار گرفته در %appdata%\Media Center Programs\cversions.2.db))

نصب‌کننده فریم ورک  با نام ~dfae01202c5f0dba42.cmd))

فایل رجیستری کمکی قرار گرفته در %temp%\values.reg).)

علاوه بر این، متوجه شدیم که دقیقاً مانند مورد عفونت 2022، مهاجمین از تسک برنامه‌ریزی شده برای راه اندازی یک فایل cmd.  استفاده کردند که به نوبه خود چارچوب را برای ماندگاری در دستگاه در معرض خطر پیکربندی کرد. روش تداوم مشاهده شده ربودن COM از طریق {603d3801-bd81-11d0-a3a5-00c04fd706ec} CLSID بود.

با توجه به خود چارچوب، برای خواندن افزونه‌های ذخیره‌شده در سیستم فایل مجازی آن، واقع در فایل %appdata%\Media Center Programs\C_12058.NLS طراحی شده است. نام هر افزونه در این فایل سیستم یک مقدار چهار بایتی است، مانند "38568efd".  ما توانستیم مطمئن شویم که این مقادیر چهار بایتی هش DJB2 نام‌های DLL هستند. این باعث شد تا نام این افزونه‌ها جستجوی فراگیر شود. با توجه به فریمورک دیگر، Goreto، این مجموعه ابزار کدگذاری‌شده در Golang است که به طور دوره‌ای به یک فضای ذخیره‌سازی گوگل‌درایو متصل می‌شود تا دستورات را بازیابی کند. به غیر از موتور اجرای فرمان، گورتو یک کی‌لاگر و یک اسکرین شات گیرنده را پیاده‌سازی می‌کند.

نسبت

همانطور که در بالا اشاره شد، ما حملاتی را که قبلاً شرحشان دادیم با اعتماد به نفس متوسط به The Mask

 نسبت می‌دهیم. یکی از اولین سرنخ‌های این نسبت‌دهی که توجه ما را به خود جلب کرد چندین فایل‌نیم بود که از سال 2019 توسط این بدافزار استفاده می‌شدند. این تا حد هشداردهنده‌ای مشابه با آن‌هایی است که The Mask  بیش از 10 سال پیش استفاده می‌کرد.

نام‌های DLL اجباری پلاگین‌های Careto2 نیز شبیه نام پلاگین‌هایی است که توسط The Mask در سال‌های 2007-2013 استفاده می‌شد:

در آخر، کمپین‌هایی که بین سال‌های 2007 تا 2013 و درسال 2019 پیش رفتند از حیث TTPها، برای مثال استفاده از سیستم‌های مجازی فایل جهت ذخیره پلاگین‌ها و اعمال نفوذ COM برای تداوم چندین هم‌پوشانی داشتند. با توجه به حملات مشاهده‌شده در سال 2022 و 2024 همچنین این‌ها را به The Mask به دلایل اصلی زیر نسبت می‌دهیم:

•         این سازمان در آمریکای لاتین که در سال 2022 آلوده شد، سازمانی بود که توسط Careto2 در سال 2019 و توسط کاشت‌های تاریخی The Mask در سال‌های 2007-2013 به خطر افتاد.

•         در هر دو مورد 2019 و 2022، از همان نام فایل منحصربه‌فرد برای استقرار ایمپلنت‌ها در دستگاه‌های آلوده استفاده شد: ~dfae01202c5f0dba42.cmd؛

•         حملات 2019 و 2022-2024 از نظر TTP با یکدیگر همپوشانی دارند، زیرا بدافزار مستقر در این حملات از ذخیره‌سازی کلود برای نفوذ استفاده می‌کند و در سراسر فرآیندهای سیستم منتشر می‌شود.

نتیجه‌گیری

ده سال از آخرین باری که حملات سایبری Careto را دیدیم می‌گذرد و این عامل هنوز مثل سابق قدرتمند است. دلیل این است که Careto قادر به ابداع تکنیک‌های عجیب و غریب آلودگی مانند ماندگاری از طریق سرور ایمیل  MDaemon یا ایمپلنت لودینگ از طریق درایور  HitmanPro Alert و نیز توسعه بدافزارهای پیچیده‌ی چندین اجزایی است. گرچه نمی‌توانیم تخمین بزنیم چقدر طول می‌کشد تا جامعه حملات بعدی این بازیگر را کشف کند، اما مطمئن هستیم که کمپین بعدی آنها مانند موارد قبلی پیچیده خواهد بود.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.